Startseite Nachrichten Details
ESTsecurity entdeckt Phishing-Angriff mit Tarnung als Datenleck in Südkorea
2026-06-15 17:22
Merken

de.wedoany.com-Bericht: ESTsecurity hat eine neue Art von Spear-Phishing-Angriff entdeckt, bei dem Angreifer E-Mails mit Betreffzeilen wie „Anfrage zur Bestätigung eines mutmaßlichen Datenlecks“ versenden. Zunächst werden getarnte E-Mails an die tatsächlich zuständigen Mitarbeiter von Unternehmen gesendet. Durch mehrfache Kommunikation wird Vertrauen aufgebaut, bevor die Opfer zur Installation schädlicher Dateien verleitet werden. Der Angriff selbst ist ein konventioneller Spear-Phishing-Versuch. Wenn jedoch der bösartige Link in der E-Mail von der Sicherheitslösung blockiert wird, beruhigen die Angreifer die Nutzer mit Aussagen wie „Es scheint ein Fehlalarm zu sein“ und verleiten sie dazu, den Link dennoch zu öffnen.

Laut einem Fall, der vom APT-Bedrohungserkennungssystem des ESTsecurity Security Response Center (ESRC) entdeckt wurde, tauschten die Angreifer zunächst mehrfach normale E-Mails mit den tatsächlich zuständigen Mitarbeitern eines bestimmten Unternehmens aus, um Vertrauen aufzubauen. Anschließend wurden diese zur Ausführung einer schädlichen Datei verleitet. Beim ersten Versuch wurde der bösartige Link in der E-Mail von der unternehmenseigenen Sicherheitslösung blockiert. Daraufhin beruhigten die Angreifer den Mitarbeiter mit der Aussage: „Nach einer internen Prüfung durch das Sicherheitsteam wurde keine Anomalie festgestellt; es handelt sich vermutlich um einen Fehlalarm.“ Um die Überwachung durch Antivirensoftware zu umgehen, sendeten die Angreifer den Schadcode anschließend erneut, diesmal als passwortgeschützte ZIP-Datei. Wenn der Benutzer die Datei entpackt und die als normales Dokument getarnte schädliche Windows-Verknüpfungsdatei (LNK) ausführt, wird im Hintergrund zwangsweise eine 32-Bit-PowerShell-Umgebung aufgerufen, wodurch die Erkennung durch einige Sicherheitslösungen umgangen wird. Der Benutzer sieht ein normales Excel (XLSX)- oder PDF-Dokument zum Kundenstatus, während im Hintergrund bereits Systeminformationen gestohlen und weitere schädliche Aktionen ausgeführt werden.

Die Angreifer verwendeten zwei Frameworks, um der Erkennung zu entgehen. Das erste Framework nutzte die legitime Cloud-Dienst-API von Dropbox als Command-and-Control-Server (C2), stahl Informationen vom PC und enthielt Funktionen zur Erkennung von Analyseumgebungen in virtuellen Maschinen. Das zweite Framework kommunizierte direkt mit einem eigenen HTTPS-Server der Angreifer und registrierte eine Datei, die als automatisches Update einer bekannten südkoreanischen Sicherheitssoftware getarnt war, in den Autostart-Einträgen, um Persistenz zu gewährleisten und die Befehle zu verbergen. Nach einer detaillierten Analyse von drei durch das ESRC gesammelten Schadproben wurde bestätigt, dass sie alle dieselbe interne Struktur und dieselben als Kundenstatus getarnten Köderdokumente aufweisen. Dies deutet darauf hin, dass dieselbe Angriffsgruppe innerhalb derselben Kampagne je nach Situation ihre Werkzeuge austauscht. Gemeinsam bestätigte Merkmale umfassen: eine ausgeklügelte Social-Engineering-Kampagne mit mehrfachem E-Mail-Austausch unter dem Vorwand eines Datenlecks; eine gemeinsame Infiltrationskette durch die gleiche anfängliche Ausführungsmethode über LNK-Dateien und die Verwendung koreanischsprachiger Köderdokumente; die gleichzeitige Nutzung legitimer Cloud-Dienste und eigener Domänen, um bei Blockierung über alternative Kanäle zu verfügen (Multi-C2-Infrastruktur); sowie Anzeichen einer gezielten Ausrichtung auf südkoreanische Organisationen, wie die Verwendung des Kampagnenidentifikators „Pan“ und die Tarnung als südkoreanische Sicherheitssoftware.

Ein Vertreter des ESRC betonte, dass dieser Angriff unter dem Vorwand eines Datenlecks, dem größten Anliegen von Sicherheitsverantwortlichen, durchgeführt wurde, um Misstrauen zu vermeiden. Selbst wenn der Absender eine externe Person ist und die Konversation natürlich verläuft, sei bei der Ausführung von Anhängen oder dem Öffnen von Links besondere Vorsicht geboten. Der Vertreter wies darauf hin, dass es ein klares Angriffssignal sei, wenn eine von der Sicherheitslösung blockierte Datei vom Absender als Fehlalarm bezeichnet und erneut als passwortgeschützte ZIP-Datei gesendet wird. Eine solche Datei dürfe auf keinen Fall ausgeführt werden. Tatsächliche Mitarbeiter von Unternehmen sollten in den Windows-Explorer-Einstellungen die Option „Erweiterungen bei bekannten Dateitypen ausblenden“ deaktivieren und vor der Ausführung unbedingt die tatsächliche Dateierweiterung (LNK, EXE usw.) überprüfen, um sichere Arbeitsgewohnheiten zu entwickeln.

Dieser Artikel wurde von Wedoany übersetzt und bearbeitet. Bei jeglicher Zitierung oder Nutzung durch künstliche Intelligenz (KI) ist die Quellenangabe „Wedoany“ zwingend vorgeschrieben. Sollten Urheberrechtsverletzungen oder andere Probleme vorliegen, bitten wir Sie, uns unverzüglich zu benachrichtigen. Wir werden den entsprechenden Inhalt umgehend anpassen oder löschen.

E-Mail: news@wedoany.com

Südkorea
IKTTechnik für Informationsvertraulichkeit und Datensicherheit
Vorheriger Artikel:Südkoreas Datenschutzkommission fordert besseres Management von Cloud-Zugangsdaten
Nächster Artikel:Samsungs faltbares Smartphone aus Südkorea erhält 60 Mikrometer dickes UTG-Glas
relevante Produkte
Angebotsgespräch
Tragbares Satellitenterminal mit Flachbildschirm – manuelles tragbares Terminal mit 0,35-Meter-Öffnung
China Starwin Science & Technology co., Ltd.
Angebotsgespräch /Set
Baolande Application Server Software V9.5
Beijing Baolande Software Corporation
Angebotsgespräch
TWP16 P-Band-Troposphären-Windprofiler-Radar
China Huayun Meteorological Technology Group Co., Ltd.
Angebotsgespräch
Intelligentes Überwachungssystem für Förderbänder
LUO YANG WIRE ROPE INSPECTION TECHNOLOGY CO., LTD.
Angebotsgespräch /Set
Kollaboratives Energiemanagement- und Steuerungssystem für Cloud, Edge und Endgeräte
Beijing Agent Devote Power Technology Development Co., Ltd.
Angebotsgespräch
Industrieschalter für den Hausgebrauch
Shenzhen Yuhang Communication Technology Co., Ltd.
Angebotsgespräch
Singlemode-Glasfaser G.652B
SHENZHEN SDG INFORMATION CO., LTD.
Angebotsgespräch
FAO (Autonome Fahrzeuge)
UniTTEC Co., Ltd.
Angebotsgespräch
SIS-Sicherheitsinstrumentierungslösung
Beijing Consen Automation Technology Co., Ltd.
Angebotsgespräch
Neolix X3 – der fahrerlose Kastenwagen
Neolix Beijing Technology Co., Ltd.
Angebotsgespräch
Ka-Band Phased-Array-Antennen-Sende-Subarray
COXSAT TECHNOLOGY CO., LTD.
Angebotsgespräch
QPS-20A schnelles Umschaltgerät für redundante Stromversorgung
CHN ENERGY ZHISHEN CONTROL TECHNOLOGY CO., LTD.
Empfehlungen in Verbindung damit
Slowenischer ELES beteiligt sich an EU-Projekt für KI-Netzmodell
2026-06-15
IEC Telecom gründet lokales Unternehmen in Indonesien zur Erweiterung von Satellitenverbindungsdiensten
2026-06-15
Indiens TRAI treibt V2X-Kommunikationsregeln voran, um intelligente Straßenverbindungen neu zu gestalten
2026-06-15
Indiens TCS und Anthropic erweitern unternehmensweite Einführung generativer KI
2026-06-15
Philippinisches Ministerium für Wissenschaft und Technologie startet Pilotprojekt für intelligentes Verkehrssystem für Einsatzfahrzeuge
2026-06-15
Alibaba Cloud startet öffentliche Cloud-Region in Johor, Malaysia
2026-06-15
Philippinisches Ministerium für Wissenschaft und Technologie testet intelligentes Verkehrssystem für Einsatzfahrzeuge
2026-06-15
Chinas Songyan Power veröffentlicht OpenHarmony-Version des N2-Verbraucher-Humanoidroboters
2026-06-15
Manz Asia liefert weltweit erstes 310 mm Panel-Level-Packaging-ECD-Massenproduktionssystem aus
2026-06-15
Chinesischer humanoider Roboter „Yuanzheng A3“ in voller Größe absolviert eigenständig Tischtennis-Match
2026-06-15
Neueste Nachrichten
1
China: Übertragung von Bergbaurechten bei Vertragsvergabe erst nach fünf Jahren erlaubt
2
Chinesischer XCMG stellt in Kasachstan CO₂-freies und intelligentes Minenkonzept vor
3
Slowenischer ELES beteiligt sich an EU-Projekt für KI-Netzmodell
4
2026: Saarland testet 44 Flirt Akku-Batteriezüge
5
FedEx eröffnet Logistikanlage in Bundaberg, Australien, mit einer Kapazität von 1.500 Sendungen pro Stunde
6
Unfall bei Kootenay Silvers Columba-Silberprojekt in Mexiko führt zur Einstellung der Arbeiten
7
Kanadisches Bergbauunternehmen Hemlo Mining genehmigt Börsenaufstieg an der Toronto Stock Exchange
8
IEC Telecom gründet lokales Unternehmen in Indonesien zur Erweiterung von Satellitenverbindungsdiensten
9
US-Verkehrsministerium vergibt im Juni 2026 Fördermittel in Höhe von 626,7 Millionen US-Dollar für multimodale Verkehrsprojekte
10
Chinesischer Baumaschinenhersteller Zoomlion erzielt auf der KOMATEK-Messe Aufträge im Wert von über 1 Milliarde Yuan und vertieft Engagement in der Türkei