Mehr als 11,000 australische Unternehmen waren das Ziel einer jüngsten Welle von Cyberangriffen, die auf einer veralteten, aber immer noch gefährlichen Malware-Variante namens Agent Tesla basieren.
Potenzielle Opfer wurden mit mit Sprengfallen versehenen E-Mails mit Lockangeboten zum Kauf von Waren und Anfragen zur Lieferung von Bestellungen bombardiert, denen ein böswilliger Anhang beigefügt war. Opfer, die dazu verleitet wurden, den Anhang zu öffnen, setzten ihre Windows-PCs einer Infektion mit Agent Tesla aus.
Agent Tesla ist ein Remote-Access-Trojaner (RAT), der erstmals im Jahr 2014 aufgetaucht ist. Laut Forschern von Check Point Software ist die Malware weit verbreitet und wird häufig von einer Vielzahl von Bedrohungsakteuren, darunter Cyberkriminellen und Spionen, verwendet.
Alexander Chailytko, Cybersicherheits-, Forschungs- und Innovationsmanager bei Check Point, sagt, dass Bedrohungsakteure „ein gewisses Maß an Vertrauen“ in die Fähigkeiten von Agent Tesla entwickelt haben.
„Seine Zuverlässigkeit, gepaart mit seinem vielfältigen Funktionsumfang für Datenexfiltration und Informationsdiebstahl, machen es zur bevorzugten Wahl unter Cyberkriminellen“, erklärt Chailytko.
Die Malware bietet eine Reihe von Datenexfiltrationsmethoden und Diebstahlfunktionen, die auf die am häufigsten verwendete Software abzielen, von Browsern bis hin zu FTP-Clients. Aktuelle Updates der Malware bieten eine engere Integration mit Plattformen wie Telegram und Discord, was es Kriminellen erleichtert, Hacking-Kampagnen durchzuführen.
Agent Tesla war letztes Jahr in den Nachrichten, als Cyberkriminelle a ausnutzten 6-jähriger Microsoft Office Fehler bei der Fernausführung des Schleuderagenten Tesla.
Anatomie eines Agenten-Tesla-Hacks
Eine Analyse von Sicherheitsforschern von Check Point, veröffentlicht in a Blog-Post Diese Woche bot eine der bisher detailliertesten Untersuchungen der Methodik einer Agent Tesla-basierten Phishing-Kampagne. Ihre Arbeit bietet eine Nachbetrachtung einer großvolumigen Angriffsserie, die im November 2023 gegen hauptsächlich australische und amerikanische Ziele gestartet wurde.
Check Point sagte, ein Bedrohungsakteur namens „Bignosa“ habe zunächst Plesk (für das Hosting) und Round Cube (E-Mail-Client) auf einem gehosteten Server installiert. Anschließend tarnten die Angreifer die Nutzlast des Agenten Tesla mithilfe eines Pakets namens Cassandra Protector, das den Schadcode verbarg und seine Zustellung kontrollierte.
Cassandra Protector bündelt eine Vielzahl von Optionen, die es Cyberkriminellen ermöglichen, die Ruhezeit vor der Ausführung zu konfigurieren. Unter anderem steuert es den Text im gefälschten Dialogfeld, das erscheint, wenn Opfer eine schädliche Datei öffnen.
Nachdem Agent Tesla auf diese Weise „geschützt“ war, konvertierte Bignosa den bösartigen .NET-Code in eine ISO-Datei mit der Erweiterung „.img“, bevor er die resultierende Datei an die Spam-E-Mails anhängte.
Als Nächstes stellte Bignosa über eine Remote-Access-Netzwerkprotokollverbindung eine Verbindung zum neu konfigurierten Computer her, erstellte eine E-Mail-Adresse, meldete sich bei Webmail an und startete den Spam-Lauf mithilfe einer vorbereiteten Zielliste. Laut Check Point wurde Australien in einer ersten Angriffswelle von „einigen erfolgreichen Infektionen“ heimgesucht.
Unter
Die Bedrohungsakteure hinter der Agent-Tesla-Malware-Kampagne hatten es in erster Linie auf australische Unternehmen abgesehen, wie das Vorhandensein einer Mailinglistendatei mit dem Namen „AU B2B Lead.txt“ auf ihren Computern zeigt.
„Dies deutet auf eine bewusste Anstrengung hin, E-Mail-Adressen zu sammeln und ins Visier zu nehmen, die mit australischen Geschäftseinheiten verknüpft sind, möglicherweise mit dem Ziel, Unternehmensnetzwerke zu infiltrieren, mit dem Ziel, wertvolle Informationen für die finanzielle Ausbeutung zu extrahieren“, sagt Chailytko von Check Point.
Bignosa arbeitete auch mit einem anderen, erfahreneren Cyberkriminellen zusammen, der sich unbescheiden „Götter“ nennt, in einer Kampagne, um sich in australische und US-amerikanische Unternehmen zu hacken, fanden die Forscher heraus.
Den von den Sicherheitsforschern aufgedeckten Jabber-Chat-Protokollen zufolge gab Gods Bignosa Ratschläge zum Inhalt bösartiger Spam-Texte.
Wie bei anderen CyberkriminellenLaut von Check Point aufgedeckten Beweisen hatte das Duo mit Elementen seiner Cyberkriminalitätskampagne zu kämpfen.
In mehreren Fällen war Bignosa nicht in der Lage, seinen Computer von den Agent-Tesla-Testinfektionen zu befreien, sodass der unglückliche Hacker den Fernzugriff von Gods um Hilfe bitten musste.
Check Point sagte, es gehe davon aus, dass Bignosa Kenianer und Gods ein Nigerianer sei, der nebenbei als Webentwickler arbeite.
So blockieren Sie Agent-Tesla-Infektionen
Die von Check Point hervorgehobene Spear-Phishing-Kampagne auf Basis von Agent Tesla unterstreicht die immer noch vorherrschende Bedrohung durch die ausgereifte Malware.
Unternehmen sollten Betriebssysteme und Anwendungen auf dem neuesten Stand halten, indem sie umgehend Patches installieren und andere Sicherheitsmaßnahmen nutzen. Kommerzielle Spam-Filter- und Blocklist-Tools können laut Check Point dazu beitragen, die Menge an Junk-Traffic zu minimieren, der in den Posteingängen der Benutzer erscheint.
Dennoch müssen Endbenutzer Vorsicht walten lassen, wenn sie auf unerwartete E-Mails mit Links stoßen, insbesondere von unbekannten Absendern. Laut Check Point können hier regelmäßige Mitarbeiterschulungen und Schulungsprogramme das Bewusstsein für Cybersicherheit stärken.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/remote-workforce/thousands-of-australian-businesses-targeted-with-agent-tesla-rat
