Forscher von Zscaler haben eine Cyberspionage-Kampagne beobachtet, die europäische Diplomaten mit bösartigen PDF-Dateien angreift, die als Einladungen zu einer Weinprobe des indischen Botschafters getarnt sind.
„Zscalers ThreatLabz entdeckte eine verdächtige PDF-Datei, die am 30. Januar 2024 von Lettland aus auf VirusTotal hochgeladen wurde", schreiben die Forscher.
„Diese PDF-Datei ist als Einladungsschreiben des indischen Botschafters getarnt, das Diplomaten zu einer Weinprobe im Februar 2024 einlädt. Die PDF-Datei enthielt auch einen Link zu einem gefälschten Fragebogen, der die Benutzer zu einem bösartigen ZIP-Archiv auf einer kompromittierten Website weiterleitete und die Infektionskette in Gang setzte. Bei der weiteren Suche nach Bedrohungen entdeckten wir eine weitere ähnliche PDF-Datei, die im Juli 2023 von Lettland aus auf VirusTotal hochgeladen wurde".
In den PDF-Dateien werden die Empfänger aufgefordert, einen Fragebogen auszufüllen, um eine Einladung zu der Veranstaltung zu erhalten. Klickt der Nutzer auf den Link zu dem gefälschten Fragebogen, wird er auf eine Website weitergeleitet, auf der eine bösartige HTA-Datei installiert wird.
„Der Inhalt ist so gestaltet, dass er vorgibt, der Botschafter von Indien zu sein", schreiben die Forscher. „Die Einladung enthält einen Link zu einem gefälschten Fragebogen, der die Infektionskette in Gang setzt. Der bösartige Link in der PDF-Einladung leitet den Benutzer zu einer kompromittierten Website, hxxps://seeceafcleaners[.]co[.]uk/wine.php, von der ein ZIP-Archiv heruntergeladen wird, das eine HTA-Datei - wine.hta - enthält".
Zscaler geht davon aus, dass hinter der Kampagne ein staatlich gesponserter Bedrohungsakteur steckt, der es auf bestimmte Personen abgesehen hat.
„Wir gehen davon aus, dass dieser Angriff von einem inländischen Bedrohungsakteur durchgeführt wurde, der die geopolitischen Beziehungen zwischen Indien und Diplomaten in europäischen Ländern ausnutzen wollte", schreiben die Forscher. „Der Angriff zeichnet sich durch sein sehr geringes Volumen und die fortschrittlichen Taktiken, Techniken und Verfahren (TTPs) aus, die in der Malware und der Kommando- und Kontrollinfrastruktur (C2) eingesetzt wurden. Obwohl wir diesen Angriff noch keiner bekannten APT-Gruppe zuordnen konnten, haben wir diesen Bedrohungsakteur aufgrund des weinbezogenen Themas und der Dateinamen, die in verschiedenen Phasen der Angriffskette verwendet wurden, SPIKEDWINE genannt, und unsere Ermittlungen in diesem Fall dauern an".
Sicherheitsschulungen der neuen Schule können Ihrem Unternehmen eine wichtige Verteidigungsschicht gegen Social-Engineering-Angriffe bieten. KnowBe4 versetzt Ihre Mitarbeiter in die Lage, jeden Tag intelligentere Sicherheitsentscheidungen zu treffen. Mehr als 65.000 Organisationen weltweit vertrauen auf die KnowBe4 Plattform, um ihre Sicherheitskultur zu stärken und menschliche Risiken zu reduzieren.
Zscaler hat die Geschichte.
Demo anfragen: Security Awareness Training
New-school Security Awareness Training ist entscheidend, damit Sie und Ihr IT-Personal mit den Benutzern in Kontakt treten und ihnen helfen können, jederzeit die richtigen Sicherheitsentscheidungen zu treffen. Dies ist keine einmalige Angelegenheit. Kontinuierliche Schulungen und simuliertes Phishing sind notwendig, um die Mitarbeiter:innen als Ihre letzte Verteidigungslinie zu mobilisieren. Fordern Sie Ihre persönliche Demo der KnowBe4-Plattform für Sicherheitsschulungen und simuliertes Phishing an und sehen Sie, wie einfach es sein kann!
Demo anfragen
PS: Sie mögen es nicht, auf weitergeleitete Links zu klicken? Kopieren und fügen Sie den folgenden Link einfach in Ihren Browser ein:
https://www.knowbe4.com/kmsat-security-awareness-training-demo
