Von Vietnam aus geführte Cybercrime-Operation entwickelt sich weiter und verstärkt die Attacken
Im Juli dieses Jahres hat WithSecure (früher F-Secure Business) die von Vietnam aus geführte Cybercrime-Operation „DUCKTAIL“ entlarvt. Eine weitere Analyse zeigt, dass die Angriffe in der Zwischenzeit weiterentwickelt und ausgebaut wurden.
Seit 2021 greift DUCKTAIL über LinkedIn Einzelpersonen und Organisationen an, die die Ads- und Business-Plattform von Facebook nutzen. Das Ziel: Die vollständige Übernahme der Facebook-Business-Accounts der Opfer, um beispielsweise auf Kosten der Opfer selbst Anzeigen zu schalten. Seit der Aufdeckung der Aktivitäten im Sommer hat die Gruppe ihre Arbeitsweise angepasst, um Abwehrmaßnahmen zu umgehen und ihre Attacken auszuweiten.
Nach Schätzungen von WithSecure betragen die Verluste durch diese Angriffe zwischen 100.000 und 600.000 US-Dollar pro betroffene Unternehmen.
„Wir sehen keine Anzeichen dafür, dass es um DUCKTAIL in absehbarer Zeit ruhiger wird. Operative Rückschläge führten vielmehr dazu, dass sich die Gruppe schnell weiterentwickelt hat. Das DUCKTAIL-Team war zunächst wohl eher klein, aber das hat sich geändert“, erläutert Mohammad Kazem Hassan Nejad, Experte für Cybersicherheit bei WithSecure™.
Die aktuell seit September beobachteten Aktivitäten von DUCKTAIL weichen unter anderem in folgenden Punkten vom früheren Modus Operandi ab:
- Nutzung neuer Kanäle für Spear-Phishing, etwa WhatsApp
- Änderung des Vorgehens bei Malware mit einer zuverlässigeren Methode zum Erfassen der vom Angreifer kontrollierten E-Mail-Adressen; Malware erscheint durch das Öffnen von Dummy-Dokumenten und Videodateien beim Start weniger verdächtig
- Kontinuierliche Anstrengungen zur Umgehung der Abwehrsysteme, etwa durch Änderung des Dateiformats und der Kompilierung sowie durch das Gegensignieren von Zertifikaten
- Schaffung zusätzlicher Ressourcen, Ausweitung der Operationen durch die Gründung von Fake-Unternehmen in Vietnam sowie die Einbindung von Kooperationspartnern
„Ransomware-Angriffe erhalten zurecht viel Aufmerksamkeit – aber auch Bedrohungen wie DUCKTAIL können erhebliche finanzielle und Image-Schäden verursachen. Sie sollten nicht auf die leichte Schulter genommen werden“, sagt Paolo Palumbo, Vice President von WithSecure Intelligence. „Angesichts der zunehmenden Aktivitäten, neuer Partner und gefälschter Unternehmen erwarten wir in absehbarer Zeit eine Zunahme von Vorfällen im Zusammenhang mit DUCKTAIL.“
Maßnahmen zum Schutz vor DUCKTAIL
Das Incident-Response-Team von WithSecure hat mehrere betroffene Unternehmen dabei unterstützt, auf Angriffe von DUCKTAIL und andere Bedrohungen zu reagieren, die auf die Ads- & Business-Plattform von Facebook abzielen. Der angerichtete Schaden liegt im sechsstelligen Bereich an Anzeigen-Budget.
Laut John Rogers, Global Head of Incident Response bei WithSecure, haben viele Unternehmen aufgrund der fehlenden Trennung zwischen privaten und geschäftlichen Konten große Schwierigkeiten, auf diese Gefahren angemessen zu reagieren.
„Die Nutzung der gleichen Ressourcen für private und geschäftliche Zwecke kann sehr problematisch sein. Beispielsweise kann für die Aufklärung eines möglichen DUCKTAIL-Vorfalls ein Einblick in den persönlichen Facebook-Verlauf einer Person nötig sein, was viele unvorhergesehene betriebliche, ethische und rechtliche Auswirkungen haben kann. Dies ist ein Thema, das sowohl Unternehmen als auch ihre Mitarbeiter*innen betrifft, so dass beide die Risiken in diesen Situationen verstehen müssen“, so Rogers.
Verteidiger sollten die folgenden Schritte unternehmen, um sich vor DUCKTAIL und ähnlichen Bedrohungen zu schützen:
- Aufklärung der Benutzer mit Zugang zu Facebook/Meta-Business-Konten über Spear-Phishing.
- Implementierung einer Anwendung, die verhindert, dass unbekannte ausführbare Dateien ausgeführt werden.
- Einsatz von EDR/EPP-Lösungen zur Erkennung und Verhinderung von Malware in den frühen Phasen des Angriffszyklus.
- Alle gestellten oder persönlichen Geräte, mit denen die Facebook-Konten des Unternehmens verwaltet werden, sollten über grundlegende Hygiene- und Schutzmaßnahmen verfügen.
- Verwendung von Private Browsing, um jede Arbeitssitzung zu authentifizieren, bei der auf Facebook-Business-Konten zugegriffen wird. So wird die Sitzung nach Beendigung vergessen, was verhindert, dass Cookies gestohlen und missbraucht werden können.
- Befolgung der von Meta empfohlenen Sicherheitspraktiken.
- Möglichst kurzfristiges Herunterladen der relevanten Protokolle und anschließend sofortige Analyse, wenn ein kritischer Vorfall möglich erscheint.
Die Analyse ist im englischsprachigen Volltext verfügbar unter
https://labs.withsecure.com/publications/ducktail-returns.
Zusätzliche Informationen über DUCKTAIL finden Sie unter