Forscher der Insikt Group von Recorded Future warnen, dass der russische Bedrohungsakteur Nobelium (auch bekannt als APT29 oder Cozy Bear) Typosquatting-Domains nutzt, um Unternehmen in der Nachrichten- und Medienbranche mit Hilfe von Phishing und mit ausgeklügelten Social-Engineering-Techniken anzugreifen.
Die Untersuchungen der Nobelium-Infrastruktur durch die Forscher von Recorded Future zeigen einen stetigen Anstieg der Nutzung von Typosquat-Domains. Ein Schlüsselfaktor ist hierbei die Verwendung von Domains, die andere Marken nachahmen (einige legitime und einige fiktive Unternehmen). Solche Domainregistrierungen und Typosquats können Spear-Phishing-Kampagnen oder andere Angriffstechniken ermöglichen, die eine ernsthafte Bedrohungslage für die Netzwerke und Marken der Opfer zur Folge haben.
Bedrohungsakteure imitieren die Zielunternehmen
Die Analyse aktueller und historischer Domains, die Nobelium zugeschrieben werden, zeigt, dass die Gruppe mit einer Vielzahl von Medien-, Nachrichten- und Technologieanbietern vertraut ist und dazu neigt, diese nachzuahmen. Die Gruppe hat die dynamische DNS-Auflösung missbraucht, um zufällig generierte Subdomains für ihre C2s oder Root-Domains zu erstellen und aufzulösen, um ihre Opfer in die Irre zu führen. Der Schlüsselaspekt dieser Angriffe ist die Verwendung von E-Mail-Adressen oder URLs, die der Domain einer legitimen Organisation sehr ähnlich sehen. Potenziell schädliche Domainregistrierungen und Typosquats können Spear-Phishing-Kampagnen oder Weiterleitungen ermöglichen, die ein erhöhtes Risiko für die Marke oder die Mitarbeiter eines Unternehmens darstellen.
Spear-Phishing – eine gängige Technik, die auch von staatlichen Bedrohungsakteuren eingesetzt wird
„Ein erfolgreicher Spear-Phishing-Angriff hängt von Faktoren wie der Qualität der Nachricht, der Glaubwürdigkeit der Absenderadresse und, im Falle einer Umleitungs-URL, der Glaubwürdigkeit des Domainnamens ab“, schreiben die Forscher. „Die Insikt Group hat in der Vergangenheit beobachtet, dass andere russische Nexus-Gruppen Typosquatting zur Unterstützung von Operationen einsetzen, beispielsweise denen, die 2020 auf die Präsidentschaftswahlen in den USA abzielten, um das Vertrauen in die Gültigkeit des betrügerischen Login-Portals zu erhöhen, das zum Sammeln der Zugangsdaten der Opfer verwendet wird. Diese Taktik wurde kürzlich auch in offenen Quellen im Zusammenhang mit Angriffen auf Einrichtungen in der Ukraine gemeldet, die wahrscheinlich die russische Invasion in diesem Land unterstützen.“
Effektiver Schutz vor Social-Engineering und Phishing
Jelle Wieringa, Security Awareness Advocate bei KnowBe4 äußert sich zu wirksamen Schutzmaßnahmen wie folgt: „Die weltweite Cyber-Bedrohungslage entwickelt sich rasant und ist verheerend, doch die Anzahl der erfolgreichen Phishing-Angriffe auf ein Unternehmen kann durch ein umfassendes Security-Awareness-Training sehr stark reduziert werden. Hierbei ist elementar, eine regelmäßige und interaktive Schulung durchzuführen, damit die Botschaft wirklich verinnerlicht wird. Das Ergebnis der Trainings ist eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken. Neben den technischen Sicherheitsoptionen können die Mitarbeiter somit als menschliche Firewall geschult und eingesetzt werden.“