{"id":232343,"date":"2020-06-05T07:20:30","date_gmt":"2020-06-05T05:20:30","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=232343"},"modified":"2022-01-15T13:26:32","modified_gmt":"2022-01-15T12:26:32","slug":"warnung-angriffe-per-steganographie-auf-industriesektor","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/06\/05\/warnung-angriffe-per-steganographie-auf-industriesektor\/","title":{"rendered":"Warnung: Angriffe per Steganographie auf Industriesektor"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>[English]<img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg04.met.vgwort.de\/na\/a381d9009ccf46a999057e76bc5dd85e\" width=\"1\" height=\"1\"\/>Aktuell setzen Cyberkriminelle Methoden der Steganografie ein, um b\u00f6sartige PowerShell-Skripte \u00fcber Bilddateien auszuliefern. Ziel ist es, Zugangsdaten von Mitarbeitern von Dienstleistungsfirmen aus dem Industriesektor zu stehlen. Unter den Opfern der von Kaspersky aufgedeckten Kampagne sind auch deutsche und europ\u00e4ische Firmen.<\/p>\n<p><!--more--><\/p>\n<h2>Angepasste Angriffe per Steganographie auf Industriesektor<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg04.met.vgwort.de\/na\/a381d9009ccf46a999057e76bc5dd85e\" width=\"1\" height=\"1\"\/>Die Angreifer setzen Phishing-E-Mails mit Nutzlasten ein, die individuell gestaltet werden. Die Phishing-E-Mails (Nachrichten und Dokumente) werden f\u00fcr jedes Opfer in dessen spezifischer Sprache und mit angepassten Dokumenten erstellt. Und die Malware f\u00fchrte ihre Aufgaben nur auf Systemen aus, die dem Gebietsschema der E-Mail entsprachen. Bleeping Computer weist in folgendem Tweet auf diesen Sachverhalt hin. <\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Highly-targeted attacks on industrial sector hide payload in images &#8211; <a href=\"https:\/\/twitter.com\/Ionut_Ilascu?ref_src=twsrc%5Etfw\">@Ionut_Ilascu<\/a><a href=\"https:\/\/t.co\/rY3aOunMdr\">https:\/\/t.co\/rY3aOunMdr<\/a><\/p>\n<p>\u2014 BleepingComputer (@BleepinComputer) <a href=\"https:\/\/twitter.com\/BleepinComputer\/status\/1266268575846653958?ref_src=twsrc%5Etfw\">May 29, 2020<\/a><\/p><\/blockquote>\n<p><span id=\"preservec262798b19a04f7c88e568961f83b84b\" class=\"wlWriterPreserve\"><span id=\"preserve0a14156265724b839737577e3229d81c\" class=\"wlWriterPreserve\"><script charset=\"utf-8\" src=\"https:\/\/platform.twitter.com\/widgets.js\" async><\/script><\/span><\/span> <\/p>\n<p>Dabei kommt auch Steganografie zur Verteilung der Schadsoftware zum Einsatz. Bei der als Steganografie bezeichneten Technik laden die Angreifer Bilder auf Server von \u00f6ffentlichen Hosting-Bilderdienste. Die Bilddateien enthalten die Malware und die Angreifer hoffen, beim Download der Dateien Netzwerkverkehrsscanner und Kontrollwerkzeuge t\u00e4uschen bzw. umgehen zu k\u00f6nnen. Hier ein solches Bild, was eventuell in einer Phishing-Mail verlinkt ist. <\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Beispielbild\" alt=\"Beispielbild\" src=\"https:\/\/ics-cert.kaspersky.com\/wp-content\/uploads\/sites\/6\/2020\/05\/3.png\" width=\"365\" height=\"364\"\/><em>Beispielbild mit Nutzlast<\/em><\/p>\n<p>Die Angriffe begannen mit einer Phishing-E-Mail, die ein Microsoft Office-Dokument mit b\u00f6sartigem Makrocode enthielt. Die Rolle besteht darin, ein anf\u00e4ngliches PowerShell-Skript zu entschl\u00fcsseln und auszuf\u00fchren. Danach erm\u00f6glichen mehrere Parameter die Ausf\u00fchrung des Skripts in einem verborgenen Fenster (-WindowStyle Hidden). Das funktioniert unabh\u00e4ngig von der konfigurierten Richtlinie (-ExecutionPolicy Bypass) und ohne Laden der Benutzerkonfiguration (-NoProfile). <\/p>\n<p>Der Zweck dieses initialen PowerShell-Skripts besteht darin, ein Bild von zuf\u00e4llig ausgew\u00e4hlten Adressen auf Imgur- oder Imgbox-Hostingdiensten herunterzuladen und mit dem Extrahieren der Nutzlast zu beginnen. Es wurden Opfer in mehreren L\u00e4ndern (Japan, Grossbritannien, Deutschland, Italien) identifiziert. Einige von ihnen liefern Ausr\u00fcstungen und Softwarel\u00f6sungen an Industrieunternehmen. Kaspersky beschreibt die Details des Angriffs in <a href=\"https:\/\/web.archive.org\/web\/20200616054224\/https:\/\/ics-cert.kaspersky.com\/reports\/2020\/05\/28\/steganography-in-targeted-attacks-on-industrial-enterprises\/\">diesem Dokument<\/a>, Bleeping Computer weist in obigem Tweet sowie in <a href=\"https:\/\/web.archive.org\/web\/20200616054224\/https:\/\/ics-cert.kaspersky.com\/reports\/2020\/05\/28\/steganography-in-targeted-attacks-on-industrial-enterprises\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> auf diesen Sachverhalt hin.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Aktuell setzen Cyberkriminelle Methoden der Steganografie ein, um b\u00f6sartige PowerShell-Skripte \u00fcber Bilddateien auszuliefern. Ziel ist es, Zugangsdaten von Mitarbeitern von Dienstleistungsfirmen aus dem Industriesektor zu stehlen. Unter den Opfern der von Kaspersky aufgedeckten Kampagne sind auch deutsche und europ\u00e4ische Firmen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-232343","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/232343","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=232343"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/232343\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=232343"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=232343"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=232343"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}