Home » News » Cybersecurity » Russische Hacker greifen mit neuen Social-Engineering-Techniken an

Russische Hacker greifen mit neuen Social-Engineering-Techniken an

Kern der vermehrt zum Einsatz kommenden Methode ist die Verwendung von Domains, die zum Verwechseln ähnlich wie populäre oder bedeutungsvoll klingende Marken klingen – zum Teil auch fiktive.

2 Min. Lesezeit
©AdobeStock/madedee

Kern der vermehrt zum Einsatz kommenden Methode ist die Verwendung von Domains, die zum Verwechseln ähnlich wie populäre oder bedeutungsvoll klingende Marken klingen – zum Teil auch fiktive. Dort landen Nutzer oft, wenn sie sich bei der Eingabe einer URL vertippen.

Betreiber sogenannter Tippfehler-Domains (auch Typosquat-Domains genannt) spekulieren auf die Unachtsamkeit der Nutzer im Umgang mit URLs und erwarten fehlgeleitete Besucher mit Werbung, Schadsoftware und Phishing-Seiten. Forscher der Insikt Group von Recorded Future warnen jetzt, dass der russische Bedrohungsakteur NOBELIUM (auch bekannt als APT29 oder Cozy Bear) Typosquatting-Domains vermehrt nutzt, um Unternehmen in der Nachrichten- und Medienbranche mit Hilfe von Phishing und mit ausgeklügelten Social Engineering-Techniken anzugreifen.

Die Analyse aktueller und historischer Domains, die NOBELIUM zugeschrieben werden, zeigt, dass die Gruppe mit einer Vielzahl von Medien-, Nachrichten- und Technologieanbietern vertraut ist und dazu neigt, diese nachzuahmen. Die Gruppe hat die dynamische DNS-Auflösung missbraucht, um zufällig generierte Subdomains für ihre C2s oder Root-Domains zu erstellen und aufzulösen, um ihre Opfer in die Irre zu führen. Der Schlüsselaspekt dieser Angriffe ist die Verwendung von E-Mail-Adressen oder URLs, die der Domain einer legitimen Organisation sehr ähnlich sehen. Potenziell schädliche Domainregistrierungen und Typosquats können Spear-Phishing-Kampagnen oder Weiterleitungen ermöglichen, die ein erhöhtes Risiko für die Marke oder die Mitarbeiter eines Unternehmens darstellen.

„Ein erfolgreicher Spear-Phishing-Angriff hängt von Faktoren wie der Qualität der Nachricht, der Glaubwürdigkeit der Absenderadresse und, im Falle einer Umleitungs-URL, der Glaubwürdigkeit des Domainnamens ab“, schreiben die Forscher. „Die Insikt Group hat in der Vergangenheit beobachtet, dass andere russische Nexus-Gruppen Typosquatting zur Unterstützung von Operationen einsetzen, beispielsweise denen, die 2020 auf die Präsidentschaftswahlen in den USA abzielten, um das Vertrauen in die Gültigkeit des betrügerischen Login-Portals zu erhöhen, das zum Sammeln der Zugangsdaten der Opfer verwendet wird. Diese Taktik wurde kürzlich auch in offenen Quellen im Zusammenhang mit Angriffen auf Einrichtungen in der Ukraine gemeldet, die wahrscheinlich die russische Invasion in diesem Land unterstützen.“

Training als effektiver Schutz vor Social Engineering und Phishing

Jelle Wieringa, Security Awareness Advocate bei KnowBe4, empfiehlt eine Reihe von Maßnahmen, die einen wirksamen Schutz bringen sollen: „Die weltweite Cyber-Bedrohungslage entwickelt sich rasant und ist verheerend, doch die Anzahl der erfolgreichen Phishing-Angriffe auf ein Unternehmen kann durch ein umfassendes Security-Awareness-Training sehr stark reduziert werden. Hierbei ist elementar, eine regelmäßige und interaktive Schulung durchzuführen, damit die Botschaft wirklich verinnerlicht wird. Das Ergebnis der Trainings ist eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken. Neben den technischen Sicherheitsoptionen können die Mitarbeiter somit als menschliche Firewall geschult und eingesetzt werden.“

Foto: KnowBe4

Jelle Wieringa, Security Awareness Advocate bei KnowBe4

Andere interessante News

Totgeglaubte leben länger: USB-Wurm ist wieder da

Die altbekannte Methode, einen USB-Stick mit Schadsoftware auf Parkplätzen auszulegen, ist zurück. Die neue Version verbreitet sich also wie ehemals über USB-Laufwerke, nutzt jetzt aber eine legitime ausführbare Datei, die sie nach dem Einstecken in einen USB-Port sofort in das Zielnetzwerk einschleust. Der Wurm trat jetzt erstmals im August 2022 in Papua-Neuguinea auf und breitet sich seitdem immer weiter aus.

Treuhänder im Darknet pfeifen auf Ehrenkodex

Im Darknet agierende Cyberkriminelle hegen Besorgnis hinsichtlich ihrer eigenen Sicherheit und möchten keinesfalls zum Opfer ihrer "Kollegen" werden. Deshalb greifen sie bei Geschäftsabschlüssen wie dem Erwerb von Datenbanken, Konten oder Unternehmenszugängen auf die Dienste von Vermittlern zurück, um sich abzusichern. „Bedauerlicherweise“ für die Kriminellen stellt sich jedoch heraus, dass selbst diese Treuhänder keine Garantie gegen Betrug bieten.

Aktuelles Malware-Ranking: Qbot in Deutschland weiter führend

Der Banking-Trojaner Qbot ist eine Malware, die oft über Spam-E-Mails an ihre Opfer kommt. Laut aktuellen Statistiken hat Qbot in Deutschland mit knapp zwölf Prozent einen hohen Einfluss. Das bedeutet, dass viele Nutzer und Unternehmen in Deutschland von dieser Schadsoftware betroffen sind. In der Zwischenzeit ist Guloader, eine Malware, die es Hackern ermöglicht, zusätzliche Schadsoftware auf infizierten Systemen zu installieren, in die Top 3 der in Deutschland am häufigsten auftretenden Malware aufgestiegen.