Cyberkriminelle Scharfschützen: Scammer aus Nigeria nutzen HawkEye für Angriffe auf kleine Unternehmen

Originaleintrag von Ryan Flores (Threat Research Manager)

Um ein Unternehmen zum Stillstand zu bringen, bedarf es keiner hoch entwickelten Malware. In Wahrheit reicht dafür ein simpler Backdoor-Schädling.

In den vergangenen Monaten nahm das „Trend Micro Forward-Looking Threat Research Team“ die Aktivitäten von zwei Cyberkriminellen aus Nigeria – bekannt unter ihren Pseudonymen Uche und Okiki – genauer unter die Lupe. Diese griffen kleine Unternehmen aus Entwicklungsländern an, um Informationen zu stehlen oder deren Transaktionen mit Partnern abzufangen. All dies geschah auf Basis von HawkEye, eines simplen Backdoor-Schädlings und Keyloggers, der etwa 35 US-Dollar kostet.

Freilich sind die cyberkriminellen Handlungen selbst nicht so simpel wie die verwendete Malware. Was die beobachteten Online-Gangster Uche und Okiki taten, bewegt sich abseits von den üblichen Ein-Mann-Operationen, in denen gestohlene Informationen einfach an Dritte weiterverkauft werden. Denn Uche und Okiki nutzten die gestohlenen Informationen, um dadurch bei ihren Opfern weitere Möglichkeiten für Diebstähle ausfindig zu machen.

Nur nichts überstürzen

Normalerweise bevorzugen Cybergangster Angriffe nach Art eines Schaufenstereinbruchs und versenden zu diesem Zweck Spam-E-Mails mit einem bösartigen Anhang, den das anvisierte Opfer dann hoffentlich ausführt. Uche und Okiki hingegen haben sich viel Zeit gelassen, um mit ihren Opfern zu interagieren. Da sie es vor allem auf die Postfächer der Unternehmen und die dort eintreffenden Anfragen externer Parteien abgesehen hatten, schickten sie ihren Angriffszielen im ersten Schritt E-Mails ohne bösartige Anhänge und tauschten sich aktiv mit ihnen aus.

Originaleintrag von Ryan Flores (Threat Research Manager)

Um ein Unternehmen zum Stillstand zu bringen, bedarf es keiner hoch entwickelten Malware. In Wahrheit reicht dafür ein simpler Backdoor-Schädling.

In den vergangenen Monaten nahm das „Trend Micro Forward-Looking Threat Research Team“ die Aktivitäten von zwei Cyberkriminellen aus Nigeria – bekannt unter ihren Pseudonymen Uche und Okiki – genauer unter die Lupe. Diese griffen kleine Unternehmen aus Entwicklungsländern an, um Informationen zu stehlen oder deren Transaktionen mit Partnern abzufangen. All dies geschah auf Basis von HawkEye, eines simplen Backdoor-Schädlings und Keyloggers, der etwa 35 US-Dollar kostet.

Freilich sind die cyberkriminellen Handlungen selbst nicht so simpel wie die verwendete Malware. Was die beobachteten Online-Gangster Uche und Okiki taten, bewegt sich abseits von den üblichen Ein-Mann-Operationen, in denen gestohlene Informationen einfach an Dritte weiterverkauft werden. Denn Uche und Okiki nutzten die gestohlenen Informationen, um dadurch bei ihren Opfern weitere Möglichkeiten für Diebstähle ausfindig zu machen.

Nur nichts überstürzen

Normalerweise bevorzugen Cybergangster Angriffe nach Art eines Schaufenstereinbruchs und versenden zu diesem Zweck Spam-E-Mails mit einem bösartigen Anhang, den das anvisierte Opfer dann hoffentlich ausführt. Uche und Okiki hingegen haben sich viel Zeit gelassen, um mit ihren Opfern zu interagieren. Da sie es vor allem auf die Postfächer der Unternehmen und die dort eintreffenden Anfragen externer Parteien abgesehen hatten, schickten sie ihren Angriffszielen im ersten Schritt E-Mails ohne bösartige Anhänge und tauschten sich aktiv mit ihnen aus.

HawkEye_Abbildung1

Abbildung 1: Beispiel einer E-Mail-Nachricht von Okiki an die anvisierten Ziele

Sobald sie das Vertrauen ihrer Kommunikationspartner erlangt hatten, nutzten sie die Gunst der Stunde und schickten ihnen HawkEye, um ihre Rechner zu infizieren und zu übernehmen.

Fettere Beute

Anstatt Informationen wie Zugangsdaten zum Online-Banking oder zu sozialen Netzwerken zu stehlen, fassten Uche und Okiki mit ihrer Taktik ein anderes Ziel ins Auge: das Webmail-Konto der Unternehmen. Dadurch ergaben sich für die beiden Cyberkriminellen mehr Möglichkeiten. Denn so bekamen sie Zugang zur Korrespondenz ihrer Opfer mit Partnern und Kunden, ihren Transaktionen und allen möglichen anderen Informationen.

Durch den Zugang zu den Geschäften ihrer Opfer lancierten Uche und Okiki weitere Maßnahmen, die von Angriffen auf die Filialen oder angeschlossenen Firmen der Opfer über Seitwärtsbewegungen im Netzwerk in Richtung Unternehmenszentrale bis hin zu gefälschten Änderungsanzeigen von Lieferanten.

Wir gehen davon aus, dass die Betrugsmasche mit gefälschten Änderungsanzeigen im Namen eines Lieferanten für Uche und Okiki lukrativer als andere Taktiken war. Denn diese Masche beruht auf dem Abgreifen und Fälschen der Kommunikation zwischen einem Lieferanten und dessen Kunden hinsichtlich Bezahlmodalitäten. Zu diesem Zweck missbrauchen Cyberkriminelle das E-Mail-Konto des Opfers (in diesem Fall das eines Lieferanten) und senden von dort eine Nachricht an den Kunden. In der gefälschten Nachricht informieren sie den Kunden darüber, dass sich die Kontodaten für Kundenzahlungen geändert hätten, und nennen neue Kontodaten, die freilich nicht dem Lieferanten, sondern den Online-Gangstern gehören. Die Betrugsmasche der Änderungsanzeigen von Lieferanten, die in der Vergangenheit mit den Keyloggern Predator Pain und Limitless verübt wurde, brachte den kriminellen Hintermännern bis zu 75 Millionen US-Dollar Gewinn ein.

Eine ernstzunehmende Bedrohung für kleine Unternehmen

Unsere Untersuchung dieser Operationen zeigen, wie clever Cyberkriminelle mit den zur Verfügung stehenden Werkzeugen und Informationen umgehen, um die maximale Beute aus ihren Opfern herauszuholen. Dieses Maß an gezieltem Vorgehen zusammen mit den Herausforderungen, die kleine Unternehmen beim Aufbau einer soliden Sicherheitsstrategie für ihre Netzwerke meistern müssen, führen zu einem Bedrohungsszenario, das klar zugunsten der bösen Buben ausfällt.

Die vollständige Dokumentation der kriminellen Aktivitäten von Uche und Okiki sowie die technische Analyse von HawkEye finden sich in unserem Forschungspapier, Piercing the HawkEye: Nigerian Cybercriminals Use a Simple Keylogger to Prey on SMBs Worldwide.

Abbildung 1: Beispiel einer E-Mail-Nachricht von Okiki an die anvisierten Ziele

Sobald sie das Vertrauen ihrer Kommunikationspartner erlangt hatten, nutzten sie die Gunst der Stunde und schickten ihnen HawkEye, um ihre Rechner zu infizieren und zu übernehmen.

Fettere Beute

Anstatt Informationen wie Zugangsdaten zum Online-Banking oder zu sozialen Netzwerken zu stehlen, fassten Uche und Okiki mit ihrer Taktik ein anderes Ziel ins Auge: das Webmail-Konto der Unternehmen. Dadurch ergaben sich für die beiden Cyberkriminellen mehr Möglichkeiten. Denn so bekamen sie Zugang zur Korrespondenz ihrer Opfer mit Partnern und Kunden, ihren Transaktionen und allen möglichen anderen Informationen.

Durch den Zugang zu den Geschäften ihrer Opfer lancierten Uche und Okiki weitere Maßnahmen, die von Angriffen auf die Filialen oder angeschlossenen Firmen der Opfer über Seitwärtsbewegungen im Netzwerk in Richtung Unternehmenszentrale bis hin zu gefälschten Änderungsanzeigen von Lieferanten.

Wir gehen davon aus, dass die Betrugsmasche mit gefälschten Änderungsanzeigen im Namen eines Lieferanten für Uche und Okiki lukrativer als andere Taktiken war. Denn diese Masche beruht auf dem Abgreifen und Fälschen der Kommunikation zwischen einem Lieferanten und dessen Kunden hinsichtlich Bezahlmodalitäten. Zu diesem Zweck missbrauchen Cyberkriminelle das E-Mail-Konto des Opfers (in diesem Fall das eines Lieferanten) und senden von dort eine Nachricht an den Kunden. In der gefälschten Nachricht informieren sie den Kunden darüber, dass sich die Kontodaten für Kundenzahlungen geändert hätten, und nennen neue Kontodaten, die freilich nicht dem Lieferanten, sondern den Online-Gangstern gehören. Die Betrugsmasche der Änderungsanzeigen von Lieferanten, die in der Vergangenheit mit den Keyloggern Predator Pain und Limitless verübt wurde, brachte den kriminellen Hintermännern bis zu 75 Millionen US-Dollar Gewinn ein.

Eine ernstzunehmende Bedrohung für kleine Unternehmen

Unsere Untersuchung dieser Operationen zeigen, wie clever Cyberkriminelle mit den zur Verfügung stehenden Werkzeugen und Informationen umgehen, um die maximale Beute aus ihren Opfern herauszuholen. Dieses Maß an gezieltem Vorgehen zusammen mit den Herausforderungen, die kleine Unternehmen beim Aufbau einer soliden Sicherheitsstrategie für ihre Netzwerke meistern müssen, führen zu einem Bedrohungsszenario, das klar zugunsten der bösen Buben ausfällt.

Die vollständige Dokumentation der kriminellen Aktivitäten von Uche und Okiki sowie die technische Analyse von HawkEye finden sich in unserem Forschungspapier, Piercing the HawkEye: Nigerian Cybercriminals Use a Simple Keylogger to Prey on SMBs Worldwide.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*