Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Firebrick Ostrich nutzt Open-Source-Taktiken, um Cyberangriffe zu starten
17. Februar 2023. TuxCare PR Team
Abnormal Security entdeckte einen neuen Business-E-Mail-Angreifer, der unter dem Namen "Firebrick Ostrich" bekannt ist und Business-E-Mail-Angriffe (BEC) in nahezu industriellem Ausmaß durchführt. Dabei wird eine Stealth-Strategie angewandt, um die offensichtlichen Anzeichen von typischen Social-Engineering-Angriffen zu vermeiden.
Seit April 2021 hat Firebrick Ostrich Berichten zufolge mehr als 350 dieser Arten von BEC-Angriffen durchgeführt und sich dabei als mindestens 151 Organisationen ausgegeben. Der Ansatz der Gruppe, mit Waffengewalt zuzuschlagen, ermöglicht diese Menge an Angriffen. Bei der Auswahl der Ziele macht Firebrick Ostrich keine großen Unterschiede und sammelt auch keine außergewöhnlichen Informationen, um den perfekten Phishing-Köder auszuwählen. Er wirft seine Pfeile gegen eine Wand, denn wenn es um BEC im großen Stil geht, ist das offenbar alles, was nötig ist.
Die Ziele der Bedrohungsakteure waren alle in den Vereinigten Staaten angesiedelt, wobei die anvisierten Branchen eher opportunistisch zu sein scheinen. Bei jeder Kampagne geben sich die Angreifer als mehrere Mitarbeiter von Lieferanten aus, von denen einer in der Regel der Finanzchef des Unternehmens ist.
Nach Angaben von Abnormal Security scheint es kein Muster zu geben, dem die Bedrohungsakteure folgen, sondern sie tauchen in den Einzelhandel und das Bildungswesen, das Transport- und Gesundheitswesen und alles dazwischen ein. Die Gruppe hat sich auch auf die Identifizierung von Drittanbietern spezialisiert, was eine generelle Verlagerung von BEC widerspiegelt, und nutzt Open-Source-Recherchen, wie z. B. das Durchforsten von Regierungswebsites, um Informationen über bestehende Verträge und Anbieter sowie die Gesamtzahl der Anbieter zu überprüfen.
Sobald der Angreifer über diese Informationen verfügt, registriert er über Namecheap oder Google einen Domänennamen, der der legitimen Domäne des vorgetäuschten Verkäufers sehr ähnlich ist. Da ihnen detaillierte Informationen über die Beziehung zwischen Verkäufer und Kunde fehlen, sind BEC-E-Mails in der Regel vage und fragen nach einer ausstehenden Zahlung oder bitten um eine Aktualisierung der Zahlungsdaten des Verkäufers.
"Seit seinen Anfängen ist BEC gleichbedeutend mit CEO-Impersonation", stellt Crane Hassold, Director of Threat Intelligence bei Abnormal Security, fest. Aber in letzter Zeit "haben Bedrohungsakteure Dritte als eine Art weiches Ziel in der B2C-Angriffskette identifiziert. Mehr als die Hälfte der B2C-Angriffe, die wir jetzt beobachten, geben sich als Dritte aus und nicht als interne Mitarbeiter".
Zu den Quellen für diesen Beitrag gehört ein Artikel in Darkreading.
