Eine Hackergruppe, die Advanced Persistent Threat (ATP) Angriffe mittels eines Zero-Day-Exploits über den Internet Explorer ausführte, hat nun ihre Angriffsstrategie geändert.

Im April veröffentlichte FireEye Details über die Kampagne der Gruppe, welche sie „Operation Clandestine Fox“ nannten. Nachdem die Zero-Day-Schwachstelle von Microsoft im Mai gepatcht worden war, wechselten die Angreifer zu einer Alternative. Jetzt installieren sie Hintertüren in den Systemen ihrer Opfer über Methoden des Social Networking.

Mike Scott von FireEye schrieb im Juni im Blog der Firma über die neuen Methoden der Cyberkriminellen. Derzeit nutzen sie Phishing-Mails, die sie an Mitarbeiter eines Energieunternehmens und einer anderen Firma senden.

Bei dem Energieunternehmen gaben sie sich als ein Bewerber aus, der sich für eine Stelle bei der Firma interessierte. Der entsprechende Mitarbeiter wurde zunächst auf einer bekannten Social-Networking-Seite kontaktiert, Wochen später erhielt er dann den vermeintlichen „Lebenslauf“ per E-Mail.

Scott erklärt:

„Der Angreifer hatte eine Reihe von Fragen gestellt, einschließlich der Frage, wer der IT-Manager sei und welche Software im Unternehmen verwendet wird. So gelangte er an alle Informationen, die für eine Attacke hilfreich sind.“

Der Angreifer sendete in der E-Mail drei komprimierte Dateien in einem RAR-Archiv. Eine der Dateien war bösartig, die anderen gutartig, um den Schein aufrecht zu erhalten. Die bösartige Datei diente dazu, eine Hintertür namens „Cookie Cutter“ im System zu platzieren.

In einem RAR-Archiv, welches an die zweite Firma gerichtet war, wurde eine Hintertür namens „Kaba“ mitgeliefert.

FireEye warnt, bei der Nutzung von Social Media oder persönlichen E-Mail-Adressen besonders vorsichtig zu sein. APT-Gruppen

„nutzen jede mögliche Schwachstelle, um einen Fuß in die Tür des anvisierten Unternehmens zu kriegen“,

so Scott.

„Soziale Netzwerke werden zunehmend für private und geschäftliche Zwecke genutzt. Somit stellen sie ein Potenzial für Cyberkriminelle dar, über welches sowohl Endnutzer als auch Netzwerkadministratoren nachdenken müssen.“

Erst letzten Monat entdeckte iSight eine drei Jahre andauernde Spionage-Kampagne, die sich gegen US-Militärs und andere hochrangige Amtsträger richtete. Auch diese nutzte Methoden des Social Engineering. Bei der „Newscaster“ getauften Attacke kreierten die Angreifer gefälschte Social Media-Profile auf verschiedenen Webseiten, einschließlich Facebook, LinkedIn, Twitter und Google+.

Artikel von scmagazine.com, 11.06.2014: Clandestine Fox attack op uses social engineering to woo new victims
Artikel von v3.co.uk, 10.06.2014: Clandestine Fox hackers spreading malware via Facebook, Twitter and LinkedIn