Bedrohungsakteure aus Vietnam haben es auf Linkedin-Nutzer abgesehen

Seit Mai 2023 haben die Sicherheitsforscher des ThreatLabz-Teams von Zscaler die Aktivitäten der „DuckTail“-Gruppe einer genaueren Analyse unterzogen. Hinter Ducktail verbirgt sich eine Gruppe vietnamesischer Hacker, die es auf Unternehmensprofile in sozialen Medien abgesehen haben. Sie setzen dafür die gleichen Taktiken, Techniken und Prozeduren (TTPs) ein, um über gestohlene Daten aus der Zielgruppe von Mitarbeitenden im digitalen Marketing Zugang zu erhalten. Die Ducktail-Akteure verbreiten Malware über Linkedin und rekrutieren ihre Opfer über gefälschte Stellenanzeigen. Als „Produkt“ dieser Malware-Operation verkaufen die Akteure die gehackten Social-Media-Accounts in vietnamesischen Telegram-Gruppen.

Die Bedrohungsakteure gehen dabei über gefälschte Stellenausschreibungen bei bekannten Unternehmen vor. Sie locken ihre ahnungslosen Opfer, die sich auf der Suche nach einem neuen Job befinden, an und verleiten sie zum Download von Schadsoftware. Dabei gehen die Angreifer davon aus, dass die Marketingexperten Zugang zu Ad-Accounts der sozialen Medien haben, die sie dann als weiteres Einfallstor nutzen. Sie machen sich den Umstand zunutze, dass in den letzten Monaten viele Beschäftigte aus der Werbe- und Digital-Branche entlassen wurden und nun auf der Suche nach neuen Tätigkeiten sind.

Neben den gefälschten Stellenausschreibungen auf Linkedin werden auch die Profile von Recruitern nachgeahmt. Um die Aufmerksamkeit von Jobsuchenden zu erlangen, wird auf den Recruiter-Profilen oft das Banner „Hiring“ eingesetzt. Reagiert ein Opfer auf die Jobanzeige, setzt sich eine mehrstufige Angriffskette in Gang, bei der Bewerber zum Download von Archivdateien zur Stellenbeschreibung aufgefordert werden. Die Gruppe benutzt zusätzlich Google-Translate für die Übersetzung von Vietnamesisch ins Englische, um die Konversation mit den Opfern zu starten und sie zum Herunterladen und Ausführen des Schadcodes zu bewegen. Manchmal kommen dabei sogar Videos zum Einsatz, die den Interessenten genau erläutern, wie sie abhängig von der Art ihres Betriebssystems vorgehen müssen. Anstelle des neuen Jobs handeln sie sich allerdings Malware auf ihrem System ein.

Die Bedrohungsakteure nutzen vor allem .NET-Dateien, um Schadsoftware auf die Geräte der Opfer zu installieren. In den meisten Fällen kommen dabei verdächtig große Dateien mit etwa 70 MByte oder mehr zum Einsatz, die ein gefälschtes Office- oder pdf-Dokumentensymbol enthalten. Direkt nach der Ausführung öffnet sich ein Dokument mit Details zum Stellenangebot. Manche dieser Malware-Pakete sind mit gültigen Code Signatur-Zertifikaten vietnamesischer Herausgeber signiert. Für die Command & Control-Kommunikation kommt Telegram zum Einsatz.

Im nächsten Schritt nutzen die Angreifer private Proxy-Dienste, um sich bei Social-Media-Geschäftskonten der kompromittierten User anzumelden, damit kein Sicherheitsalarm ausgelöst wird. Dabei haben es die Bedrohungsakteure auf Anzeigen-Accounts abgesehen, über die sie auf die Anzeigenbudgets Zugriff erhalten.

Fazit

Unternehmen und Marketingmitarbeitende können Maßnahmen ergreifen, um die Auswirkungen eines solchen Hacks zu minimieren. Sie sollten ihre gespeicherten Zahlungsmethoden in den Konten für Geschäftsanzeigen verwalten und Sicherheitsvorkehrungen wie tägliche Ausgabenlimits, Zahlungsschwellen usw. einstellen, um im Falle einer Kompromittierung einen größeren Verlust zu verhindern.

Info: Die detaillierte Angriffskette mit allen Details und Varianten ist im Blog nachzulesen: https://www.zscaler.de/blogs/security-research/look-ducktail

#Zscaler