„LookBack“: Phishing-Angriff auf US-Versorger

Spear-Phishing-Mails stammten von einer imitierten Domain

[datensicherheit.de, 02.08.2019] Zwischen dem 19. und dem 25. Juli entdeckten die Security-Spezialisten von Proofpoint eine ausgeklügelte Phishing-Kampagne, die sich gezielt gegen drei US-Versorgungsbetriebe richtete. Die Spear-Phishing-Mails stammten dabei vorgeblich von einer Domain, die der „US National Council of Examiners for Engineering and Surveying“ (NCEES) betreibt und die die Angreifer zu diesem Zweck imitierten.

Präparierte Word-Datei im Anhang

Im Anhang der Phishing-Mails befand sich eine präparierte Word-Datei, die mit Hilfe von Macros eine Malware installiert und ausführt. Die Experten von Proofpoint haben ihr den Namen „LookBack“ gegeben. Diese Malware besteht aus einem Remote Access Trojaner (RAT) sowie einem Proxy-Mechanismus, der für die Kommunikation mit der Command-and-Control-Infrastruktur (C&C) verwendet wird.

Ähnlichkeiten zu früheren Phishing-Kampagnen

Bei der Analyse der Angriffe konnte Proofpoint in den Macros der angehängten Word-Dokumente Ähnlichkeiten zu früheren Kampagnen entdecken, die im Jahr 2018 japanische Unternehmen zum Ziel hatten. Jedoch zeigte sich, dass die LookBack-Malware bislang noch mit keiner bekannten Hackergruppe in Verbindung gebracht wurde. Auch in Sachen Infrastruktur sowie dem Code der Schadsoftware ließen sich keine Übereinstimmungen mit vorangegangen Angriffen bekannter Akteure feststellen, die eine Zuordnung ermöglichen würden.

Weitere Informationen zum Thema:

Proofpoint
LookBack Malware Targets the United States Utilities Sector with Phishing Attacks Impersonating Engineering Licensing Boards

datensicherheit.de, 01.08.2019
Laterales Phishing: Die wachsende Bedrohung

datensicherheit.de, 29.05.2019
Proofpoint: Emotet fast zwei Drittel aller bösartigen Payloads

datensicherheit.de, 30.10.2018
Untersuchung zeigt Potential von Cyberangriffen auf Wasser- und Energieversorger