 |
In Vietnam läuft eine neue Cyberangriffskampagne gegen Unternehmen. Illustrationsfoto: Bloomberg. |
Sicherheitsforscher von SEQRITE Labs haben eine ausgeklügelte Cyberangriffskampagne entdeckt. Die Kampagne mit dem Namen „Operation Hanoi Thief“ zielt durch die Manipulation von Lebensläufen auf IT-Abteilungen und Personalvermittlungsagenturen in Vietnam ab.
Die am 3. November erstmals entdeckte Schadsoftware wurde von Hackern verbreitet, die diese als Bewerbungs-Lebenslauf tarnten. Ziel der Angreifer war es, in das interne Netzwerk einzudringen, das System zu übernehmen und Kundendaten sowie Geschäftsgeheimnisse zu stehlen.
Wie Malware funktioniert
Laut Sicherheitsexperten verschickte der Angreifer eine Reihe von E-Mails mit Bewerbungen und fügte die Datei „Le Xuan Son CV.zip“ als Anhang bei. Nach dem Entpacken enthielt diese zwei Dateien: eine mit dem Namen „CV.pdf.lnk“ und die andere mit dem Namen „offsec-certified-professional.png“.
Da die Datei als PDF- und PNG-Symbol getarnt ist, könnte sie fälschlicherweise für eine normale Lebenslaufdatei gehalten werden. Beim Anklicken wird der LOTUSHARVEST-Virus aktiviert, der darauf spezialisiert ist, Passwörter, Zugriffshistorien usw. zu sammeln und an den Server des Hackers zu senden.
Laut GBHackers existiert seit 2021 ein GitHub-Konto für den gefälschten Lebenslauf mit dem Namen Le Xuan Son aus Hanoi. Die Forscher stellten jedoch fest, dass auf diesem Konto keine Informationen veröffentlicht wurden, höchstwahrscheinlich diente es lediglich der Durchführung der Angriffskampagne.
Der Angriff erfolgt in drei Phasen. Nach dem Öffnen der LNK-Datei wird über das in Windows integrierte Tool ftp.exe ein spezieller Befehl ausgeführt. Dies ist eine veraltete und nicht mehr gebräuchliche Technik, die es der Schadsoftware ermöglicht, grundlegende Sicherheitsvorkehrungen zu umgehen.
 |
Hacker täuschen Unternehmen, indem sie Lebensläufe unter dem Namen „Le Xuan Son“ versenden. Foto: SEQRITE . |
In Phase 2 wird das System weiterhin getäuscht und hält die Datei für eine PDF- oder einfache Textdatei. Bei genauerer Analyse entdeckten die Forscher jedoch, dass der Schadcode versteckt vor dem Anfang der PDF-Datei eingefügt worden war.
Die Schadsoftware begann sofort mit ihrer Arbeit, benannte das in Windows verfügbare Tool certutil.exe um, um einer Entdeckung zu entgehen, und extrahierte die Daten, die das endgültige schädliche Dateipaket enthielten. Die Befehlszeile benannte die Datei weiterhin in „CV-Nguyen-Van-A.pdf“ um, um das System zu täuschen, und extrahierte und entschlüsselte dann eine Datei namens „MsCtfMonitor.dll“, die im Ordner C:\ProgramData abgelegt wurde.
Durch das Kopieren der Datei ctfmon.exe aus dem Ordner System32 in denselben Ordner nutzte der Angreifer die DLL-Hijacking-Technik aus, wodurch das System die schädliche Datei anstelle des normalen Programms ausführte.
Schließlich wird die Malware LOTUSHARVEST aktiviert, um Informationen zu stehlen. Zu diesen Daten gehören Anmeldeinformationen für die Browser Chrome und Edge sowie die 20 zuletzt besuchten URLs einschließlich der zugehörigen Metadaten.
Die gestohlenen Daten werden über die WinINet-API von Windows an die Infrastruktur des Hackers übertragen. Die Software fügt außerdem den Computernamen und den Benutzernamen hinzu, um ein Identitätsprofil auf dem Server zu erstellen.
Vietnamesische Unternehmen müssen den Schutz verstärken.
Das Besorgniserregende an der Angriffskampagne ist, dass LOTUSHARVEST sich verbergen und selbstständig agieren kann. Die Schadsoftware nutzt den Bibliothekslademechanismus aus, um langfristig die Kontrolle zu behalten und auf sensible Konten und Daten zuzugreifen, die über den Schutz herkömmlicher Sicherheitsmaßnahmen hinausgehen.
Laut der Einschätzung können gestohlene Daten für Hacker zum „Schlüssel“ werden, um ihre Reichweite zu vergrößern, gefährliche Werkzeuge einzusetzen und Unternehmen in den nächsten Phasen zu Zielen mehrschichtiger Angriffe oder Erpressungen zu machen.
„Alles deutet darauf hin, dass die Hanoi-Dieb-Kampagne akribisch geplant war und sich direkt gegen vietnamesische Unternehmen richtete.“
„Indem sie die Personalabteilung ausnutzen, die regelmäßig Bewerbungen von außerhalb erhält, aber nicht ausreichend mit Cybersicherheitsbewusstsein ausgestattet ist, verwenden Hacker gefälschte Dateien in Form von Lebensläufen oder Dokumenten und können diese ständig in viele Variationen umwandeln, wodurch das Infektionsrisiko unvorhersehbar wird“, sagte Herr Nguyen Dinh Thuy, Malware-Analyse-Experte bei Bkav.
 |
Die Skripte extrahieren die Anmelde- und Zugriffshistorie der Schadsoftware. Foto: SEQRITE . |
Laut Bkav sind vietnamesische Unternehmen Opfer der Angriffskampagne geworden. Aufgrund der Gefährlichkeit von LOTUSHARVEST und der Hanoi-Diebstahl-Kampagne sollten Nutzer äußerst vorsichtig mit per E-Mail erhaltenen Dokumenten umgehen.
Unternehmen und Organisationen müssen regelmäßig Schulungen für ihre Mitarbeiter durchführen, um das Bewusstsein für Online-Betrugsmaschen zu schärfen und die Wachsamkeit dagegen zu erhöhen. Interne Überwachungssysteme müssen verstärkt werden, insbesondere im Hinblick auf ungewöhnliche Bibliotheken oder verdächtige Dateien.
Die standardmäßigen Tools des Betriebssystems decken lediglich grundlegende Schutzbedürfnisse ab und reichen nicht aus, um moderne Malware und Viren abzuwehren, die sich verstecken, lange Zeit persistent sein und tief in das System eindringen können. Daher ist es für optimalen Schutz notwendig, ein E-Mail-Überwachungssystem zu installieren und eine lizenzierte Antivirensoftware zu verwenden.
Quelle: https://znews.vn/canh-giac-khi-mo-cv-xin-viec-cua-le-xuan-son-post1608612.html
![[Foto] Cat Ba – Grünes Inselparadies](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F04%2F1764821844074_ndo_br_1-dcbthienduongxanh638-jpg.webp&w=3840&q=75)
Kommentar (0)