{"id":263172,"date":"2022-03-07T07:37:24","date_gmt":"2022-03-07T06:37:24","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=263172"},"modified":"2023-06-18T08:29:02","modified_gmt":"2023-06-18T06:29:02","slug":"ukraine-krieg-phishing-kampagne-durch-ghostwriter-auf-deutsche-einrichtungen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/03\/07\/ukraine-krieg-phishing-kampagne-durch-ghostwriter-auf-deutsche-einrichtungen\/","title":{"rendered":"Ukraine-Krieg: Phishing-Kampagne durch "GhostWriter" auf deutsche Einrichtungen"},"content":{"rendered":"

\"SicherheitDer Verfassungsschutz des Bundes warnt vor laufenden Phishing-Kampagnen einer als \"GHOSTWRITER\" bezeichneten Cyber-Gruppe. Diese, mutma\u00dflich zum russischen Milit\u00e4rgeheimdienst z\u00e4hlende, Gruppierung f\u00fchrt seit 2017 anhaltend Cyberangriffe und Desinformationskampagnen durch. Im Umfeld der Ukraine-Krise sind nun neue Angriffe auf deutsche Ziele bekannt geworden. Erg\u00e4nzung:<\/strong> Auch Bitdefender beobachtet einen steigenden Anteil an gef\u00e4hrlichen und betr\u00fcgerischen Mails auch in deutschen Postf\u00e4chern.<\/p>\n

<\/p>\n

\"\"In den vergangenen Jahren war zu beobachten, dass fremde Staaten den Cyberraum in Form von Desinformationskampagnen nutzen. Diese werden systematisch initiiert und sind mittlerweile ein Teil ihrer hybriden Strategien. Durch die gezielte Verbreitung von Falschinformationen wird versucht, Politik, Gesellschaft oder bestimmte Personengruppen zu beeinflussen. Zielrichtung solcher Kampagnen ist die Infragestellung freiheitlicher, demokratischer Werte sowie des gesellschaftlichen Zusammenhalts in Deutschland und in westlichen Staaten allgemein – hie\u00dft es in dieser \u00e4lteren Mitteilung<\/a> des Verfassungsschutzes aus Baden-W\u00fcrttemberg.<\/p>\n

Der Verfassungsschutz warnt<\/h2>\n

Bereits vor der Bundestagswahl 2021 warnte der Verfassungsschutz vor Aktionen dieser Gruppe und thematisierte eine Phishing-Kampagne, die auf deutsche Politiker abzielte (siehe<\/a>). Im M\u00e4rz 2022 hat Bundesamts f\u00fcr Verfassungsschutz einen Sicherheitshinweis an Vertreter der deutschen Wirtschaft geschickt, aus dem z.B. Spiegel Online hier<\/a> zitiert. Es hei\u00dft \"Aufgrund erneuter, aktueller Angriffe von Ghostwriter im M\u00e4rz 2022 gegen Personen in Deutschland ist besondere Vorsicht geboten.\"<\/p>\n

In einer Kampagne versucht die \"GHOSTWRITER\"-Gruppe Zugang zu E-Mail-Konten ihrer Opfer zu bekommen. Aktuell hei\u00dft es, w\u00fcrden die Phishing-Mails von einer harmlos klingenden E-Mail-Adresse t-online.de@comcast.net verschickt. Ziel ist es, Daten der Opfer zu erbeuten und deren E-Mail-Konten zu \u00fcbernehmen. Diese k\u00f6nnen dann f\u00fcr Desinformationskampagnen und zum Versenden von Falschnachrichten missbraucht werden.<\/p>\n

Spiegel Online zitiert \u00e4ltere Vorf\u00e4lle in Osteuropa, wo in Litauen eine erfundene Nachricht \u00fcber die Sch\u00e4ndung eines j\u00fcdischen Friedhofs durch deutsche Soldaten auf einer Internetseite lanciert wurde. In Polen wurde der Twitter-Account eines PiS-Politikers gekapert und dann wurden intime Fotos einer Parteifreundin ver\u00f6ffentlicht. In Deutschland versuchte die Cyber-Gruppe 2021 mit Phishing-Mails an Politiker Zugriff auf deren Social Media- und E-Mail-Konten zu bekommen.<\/p>\n

Die deutschen Sicherheitsbeh\u00f6rden gehen davon aus, dass \u00bbGhostwriter\u00ab vom russischen Milit\u00e4rgeheimdienst GRU gesteuert und von der belarussischen Cybertruppe \u00bbUNC 1151\u00ab unterst\u00fctzt wird. Der Generalbundesanwalt in Karlsruhe f\u00fchrt seit Sommer 2021 ein Ermittlungsverfahren in dem Zusammenhang.<\/p>\n

BSI-Bewertung vom 4.3.2022<\/h2>\n

Auch das BSI bewertet<\/a> zum 4. M\u00e4rz 2022 die Situation in einem Update neu und erkennt eine abstrakt erh\u00f6hte Bedrohungslage f\u00fcr Deutschland. Das BSI ruft daher weiterhin Unternehmen, Organisationen und Beh\u00f6rden dazu auf, ihre IT-Sicherheitsma\u00dfnahmen zu erh\u00f6hen. Weitere Informationen stellt das BSI auf seinen Webseiten<\/a> und im Rahmen Allianz f\u00fcr Cyber-Sicherheit bereit.<\/p>\n

Bitdefender Labs sehen Zunahme von Phishing<\/h2>\n

Der Cyberkrieg ist ein dominanter IT-Aspekt des aktuellen Konflikts. Au\u00dferhalb der direkt involvierten Staaten versenden derzeit Spam-Trittbrettfahrer ihre Mails. Je heftiger die Auseinandersetzungen in der Ukraine werden, desto h\u00f6her ist die Zahl von Online-Betrug oder Malware-Versand \u00fcber E-Mails. Perfides Ziel der Kriminellen: Sie m\u00f6chten die humanit\u00e4re Krise und die allgemeine Hilfsbereitschaft der Menschen gezielt ausnutzen.<\/p>\n

Die Bitdefender Labs beobachteten in den vergangenen Tagen mehrere Mail-Kampagnen, die sich zum Teil gegen Unternehmen richten und auch in deutschen Mailboxen landen.<\/p>\n

Kampagne 1: Agent Tesla Remote-Access-Trojaner<\/h3>\n

Hacker greifen Unternehmen in der Produktionsbranche mit Agent Tesla an. Dabei handelt es sich um einen ein so genannten \u201eMalware-as-a-Service-Remote-Access-Trojaner (MaaS RAT). Er stiehlt Daten und wurde von Hackern vor allem in der Pandemie f\u00fcr zahlreiche E-Mail-Kampagnen genutzt.<\/p>\n

Die Spam-Mails versuchen, das b\u00f6sartige Tool \u00fcber einen ZIP-Anhang mit dem Namen \u201eREQ Supplier Survey\" zu verbreiten. Laut Mail sollen die Empf\u00e4nger in einer Studie Auskunft \u00fcber ihre Backup-Pl\u00e4ne angesichts des Ukraine-Kriegs geben. Der b\u00f6sartige Payload wird von einem Discord-Link aus direkt auf das System des Opfers heruntergeladen und dort implementiert. Um die Nutzer abzulenken, wird zus\u00e4tzlich eine sichere Chrome-Version heruntergeladen.<\/p>\n

Die Mails haben zu 86 Prozent eine niederl\u00e4ndische IP-Adresse. Die Angreifer versenden sie weltweit: Am h\u00e4ufigsten mit 23 % nach S\u00fcdkorea und mit 14 % nach Tschechien. Deutschland liegt zusammen mit Gro\u00dfbritannien auf Rang 3 mit jeweils 10 %.<\/p>\n

Kampagne 2: Remcos RAT<\/h3>\n

Die Bitdefender-Experten beobachten seit dem 2. M\u00e4rz eine weitere Malware-Spam-Kampagne. Hier geben sich die Angreifer als ein s\u00fcdkoreanischer Spezialist f\u00fcr Analyseger\u00e4te zur In-Vitro-Diagnostik aus. \u00dcber eine Excel-Tabelle im Anhang (SUCT220002) verbreiten sie die Remcos-RAT-Malware. So k\u00f6nnen die Cyberkriminellen \u00fcber infizierte Dokumente oder Archive die volle Kontrolle \u00fcber die angegriffenen Systeme erlangen. Remcos RAT zeichnet Tastatureingaben, Screenshots, Zugangsdaten oder andere sensible Systeminformationen auf und exfiltriert diese auf die Server der Urheber.<\/p>\n

Laut IP-Adresse stammen 89 % der Mails aus Deutschland und 19 % aus den USA. Empf\u00e4ngerl\u00e4nder sind neben Irland (32%), Indien (17%) und den USA (7%) Gro\u00dfbritannien, Deutschland und Vietnam mit jeweils 4 % der Empf\u00e4nger.<\/p>\n

Betr\u00fcgerische Spendenaufrufe<\/h3>\n

In betr\u00fcgerischen Mails geben Scammer vor, der ukrainischen Regierung oder Organisationen wie Act for Peace, UNICEF und dem Ukraine Crisis Relief Fund anzugeh\u00f6ren. Sie bitten dann unter verschiedenen Betreffzeilen um Geldspenden f\u00fcr die ukrainische Armee oder um Hilfe f\u00fcr die Zivilbev\u00f6lkerung im Kriegsgebiet. 7 % der Mails mit dem Betreff \u201eStand with the people of Ukraine. Now accepting cryptocurrency donations. Bitcoin, Ethereum and USDT\" landeten bislang bei deutschen Empf\u00e4ngern \u2013 25 % in Gro\u00dfbritannien, 14 % in den USA, 10 % in S\u00fcdkorea, 8 % in Japan, 4 % in Rum\u00e4nien und je 2 % in Griechenland, Finnland und Italien.<\/p>\n

Der nigerianische Prinz ist wieder da<\/h3>\n

Betr\u00fcger greifen dieses bekannte Cyber-Scam-Motiv wieder auf und verbreiten es vor allem in Deutschland: Ein Gesch\u00e4ftsmann aus der Ukraine bittet angeblich um Hilfe beim Transfer von zehn Millionen US-Dollar, bis er es wieder selbst sicher deponieren kann. Nimmt das Opfer Kontakt auf, fragen die Angreifer ihn vermutlich nach pers\u00f6nlichen Informationen, versprechen eine Belohnung und bitten um Geld \u2013 zum Beispiel f\u00fcr das Zahlen von Bankgeb\u00fchren. Dann sehen die Opfer das Geld nicht mehr wieder.<\/p>\n

Die IP-Adressen der Absender befinden sich zu 83 % in Botswana, zu 10 % in Deutschland, zu 5 % in Frankreich. Die Adressaten leben vor allem in Deutschland ( 42 %), gefolgt von der T\u00fcrkei (16 %), den Vereinigten Staaten von Amerika (16 %), Irland (8 %) sowie Polen (3 %).<\/p>\n

Sorgfaltsregeln beachten<\/h2>\n

Angesichts dieser Welle von E-Mail-Scams, die sich hinter emotionalen Appellen verbergen, sollten Nutzer gerade jetzt die \u00fcblichen Sorgfaltsregeln im Umgang mit unerwarteten Mails befolgen, so der Ratschlag der Bitdefender Labs.\u00a0Dazu geh\u00f6ren:<\/p>\n

\u2022 Kein Klick auf Links oder Anh\u00e4nge, die um eine dringende Spende bitten
\n\u2022 Spenden nur \u00fcber offizielle und anerkannte Organisationen
\n\u2022 Regelm\u00e4\u00dfiges \u00dcberpr\u00fcfen von Bankkonten auf verd\u00e4chtige Aktivit\u00e4ten
\n\u2022 Eigene Passworte f\u00fcr alle Online-Nutzerkonten<\/p>\n

Allgemeine Hinweise f\u00fcr Cybersicherheit in den eigentlichen Konfliktzonen bietet Bitdefender hier<\/a>. Ein Blog-Beitrag zur Zunahme von SPAM gibt es hier<\/a> (Englisch}.<\/p>\n","protected":false},"excerpt":{"rendered":"

Der Verfassungsschutz des Bundes warnt vor laufenden Phishing-Kampagnen einer als \"GHOSTWRITER\" bezeichneten Cyber-Gruppe. Diese, mutma\u00dflich zum russischen Milit\u00e4rgeheimdienst z\u00e4hlende, Gruppierung f\u00fchrt seit 2017 anhaltend Cyberangriffe und Desinformationskampagnen durch. Im Umfeld der Ukraine-Krise sind nun neue Angriffe auf deutsche Ziele bekannt … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-263172","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263172","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=263172"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263172\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=263172"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=263172"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=263172"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}