Mitarbeiter moderner Fertigungsunternehmen im Credential-Harvesting-Fadenkreuz

Die Threat-Fusion-Cell (TFC) von Bluevoyant hat eine neue, gegen US-amerikanische und kanadische moderne Fertigungsunternehmen gerichtete Angriffskampagne aufgedeckt. Per Credential-Harvesting versuchen Angreifer, die Microsoft-Anmeldedaten von Mitarbeitern der betroffenen Unternehmen zu stehlen. Eine Anpassung des Angriffsszenarios an moderne europäische Fertigungsunternehmen – aber auch europäische Unternehmen anderer Branchen – ist durchaus denkbar. Bluevoyant rät deshalb zur Vorsicht – und zu mehr Vorsorge.

Starten tut das das von den Sicherheitsspezialisten von Bluevoyant in den vergangenen Monaten ausgemachte Angriffsszenario mit einer Spear Phishing-E-Mail, über die eine Datei mit dem Namen ‚Product List RFQ, NDA & Purchase Terms 2024.shtml‘ – wahlweise auch ‚Periscope Holdings Product List RFQ‘, ‚NDA & Purchase Terms 2024.shtml‘, ‚R.S.Hughes Product List RFQ‘, ‚NDA & Purchase Terms 2024.shtml‘ – versandt wird. Als vermeintliche Urheber dieser ‚Köderdatei‘ werden von den Angreifern bekannte Branchengrößen vorgeschoben: wie Periscope Holdings, ein großer Anbieter von Beschaffungslösungen für den öffentlichen Sektor, oder R.S. Hughes, ein nordamerikanischer Händler von Industrie- und Sicherheitsartikeln. Der Umstand, dass Worte wie Angebotsanfrage (RFQ), Geheimhaltungsvereinbarung (NDA) und Preisliste im Namen enthalten sind, lässt auf frühere Interaktionen zwischen den Angreifern und ihren Opfern schließen – doch konnte dies noch nicht abschließend bestätigt werden. Nach dem Anklicken der Datei wird der Mitarbeiter auf eine Fake-Anmeldeseite, angeblich von Microsoft, weitergeleitet, auf welcher der Nutzername der E-Mail-Adresse bereits eingetragen ist und der Mitarbeiter zur Eingabe seines Passworts aufgefordert wird.

Insgesamt 15 Opfer, allesamt Mitarbeiter moderner US-amerikanischer und kanadischer Fertigungsunternehmen, konnten die Bluevoyant-Forscher zwischen März und August 2024 identifizieren. Diese geringe Zahl identifizierter Kampagnenartefakte, die sehr enge Eingrenzung der Opfergruppe auf Mitarbeiter moderner, nordamerikanischer Fertigungsunternehmen sowie die recht professionelle Nutzung der Fake-Domains – nach der Registrierung waren sie über mehrere Monate inaktiv – legt nahe, dass es sich hier um einen fortgeschrittenen Angriff handelt.

Da ein ähnliches Angriffsszenario auch leicht für moderne europäische Fertigungsunternehmen oder europäische Unternehmen anderer Branchen denkbar ist, rät Bluevoyant Verantwortlichen zu folgenden präventiven Maßnahmen:

  • Stellen Sie sicher, dass von außen eingehende Domain-Namen konsequent auf ihre Richtigkeit geprüft werden. Sie können sich diese Arbeit auch abnehmen lassen – indem Sie die Unterstützung eines Anbieters für den Schutz vor digitalen Risiken in Anspruch nehmen. Dieser Anbieter sucht dann für Sie – auch im Dark Web und in Underground Communities – nach Domain-Namen von Fake-Websites und ergreift Maßnahmen, um sicherzustellen, dass diese für Ihr Unternehmen keine Bedrohung mehr darstellen können.
  • Informieren und schulen Sie ihre Mitarbeiter im Hinblick auf Phishing, Spear-Phishing und Social-Engineering. Stellen Sie sicher, dass Ihre Arbeitskollegen jede verdächtige MFA-Aktivität umgehend melden. Die hier beschriebenen fortgeschrittenen Angreifer haben auch schon versucht, die MFA-Codes ihrer Opfer abzufangen.
  • Informieren und schulen Sie ihre Mitarbeiter bezüglich fortschrittlicher Angriffe. Moderne Fertigungsunternehmen sind ein beliebtes Angriffsziel von staatlichen und halbstaatlichen Akteuren sowie von Kriminellen, die Wirtschaftsspionage betreiben. All diese Gruppen nutzen fortschrittliche Bedrohungsszenarien. Mitarbeiter müssen dringend über deren Erscheinungsformen sowie das diesbezügliche Risiko- und Schadenspotential aufgeklärt werden.
  • Beschränken Sie Zugang zu und Zugriff auf ihre Systeme mit strikten Richtlinien und starken Authentifizierungsmethoden, wie zertifikatsbasierten Authentifizierungen oder FIDO2.

Gelingt es Sicherheitsverantwortlichen, diese vier Punkte effektiv in ihre Sicherheitsarchitektur zu integrieren, werden es die Cyberkriminellen der von Bluevoyant aufgespürten Angriffskampagne sehr schwer haben, in Europa größere Schäden anzurichten.

#Bluevoyant