DUCKTAIL-Malware kostet Unternehmen Millionen

Die von der gleichnamigen Hackergruppe erstellte Malware DUCKTAIL wurde im Sommer 2022 von der Sicherheitsfirma aufgedeckt. Mit Sicher.

Nun heißt es in einem neuen Bericht von WithSecure, dass DUCKTAIL seine Angriffe um neue Methoden erweitert.

Seit 2021 zielt die DUCKTAIL-Gruppe über LinkedIn auf Benutzer und Unternehmen mit einer speziellen Funktion ab, die Facebook-Geschäftskonten kapert. Nach der Kartierung der DUCKTAIL-Malware durch WithSecure im Sommer 2022 hat die Gruppe ihre Angriffstaktiken geändert, um Sicherheitsmaßnahmen zu umgehen und ihre Aktivitäten auszuweiten.

„Wir sehen keine Anzeichen dafür, dass der DUCKTAIL-Gruppe die Luft wegbleibt. Andererseits. Sie greifen mit neuen Methoden und mit neuer Intensität an. Früher war ihre operative Kapazität relativ gering, aber das ist nicht mehr der Fall“, sagt Mohammad Kazem Hassan Nejad, ein Forscher bei WithSecure Intelligence.

Neue DUCKTAIL-Aktivitäten

Seit Anfang September 2022 hat WithSecure mehrere Änderungen in der Angriffstaktik der Gruppe festgestellt. Dies gilt zum Beispiel:

  • Gezielte Spear-Phishing-Angriffe über soziale Medien, die die Gruppe zuvor nicht genutzt hat, z. B. WhatsApp.
  • Aktualisierte Malware, die mehr E-Mail-Adressen sammelt und übernimmt, da die Malware mit Anhängen, die wie echte Dateien aussehen, legitimer aussieht.
  • Ständige Versuche, IT-Sicherheitsmaßnahmen zu umgehen, indem neue Dateiformate, bekannte Dateikomprimierungsarten und Zertifikate gegengezeichnet werden.
  • Erhöhte Betriebskapazität durch die Gründung neuer Scheinunternehmen und die Integration weiterer Unternehmen in den Betrieb.

„Ransomware-Angriffe erhalten viel Aufmerksamkeit, aber Bedrohungen wie die DUCKTAIL-Malware können mit erheblichen finanziellen und Markenkosten verbunden sein und dürfen nicht ignoriert werden. Wir erwarten in naher Zukunft weitere Angriffe im Zusammenhang mit DUCKTAIL, da wir eine erhöhte Betriebskapazität, erneute Angriffe und mehr neue damit verbundene gefälschte Unternehmen und Unternehmen sehen können”, sagt Jesper Gerved, der dänische Country Manager von WithSecure.

DUCKTAIL ist schwierig zu handhaben

Die Incident-Response-Teams von WithSecure haben mehreren betroffenen Unternehmen geholfen, auf DUCKTAIL-Angriffe und andere Bedrohungen zu reagieren, die auf ihre Facebook-Anzeigen- und Geschäftsplattform abzielen. Die einzelnen Angriffe haben die Unternehmen zwischen einer und vier Millionen Kronen an entgangenen Werbeguthaben gekostet, die zum Beispiel für die Werbeseite von Facebook verwendet werden.

Laut John Rogers, Global Head of Incident Response bei WithSecure, ist diese Art von Bedrohung besonders schwierig zu bewältigen, da DUCKTAIL sich die Tatsache zunutze macht, dass der Zugriff auf die Social-Media-Profile von Unternehmen in den meisten Fällen über die persönlichen Konten der Mitarbeiter erfolgt.

„Die Nutzung desselben Zugangs sowohl zu Unternehmensprofilen als auch zu privaten Profilen kann ziemlich problematisch sein. Beispielsweise kann die Untersuchung eines DUCKTAIL-Angriffs auf das Unternehmen den Zugriff auf die persönliche Aktivitätshistorie von Mitarbeitern erfordern, was operative, ethische und rechtliche Herausforderungen darstellen kann. Es betrifft daher weitgehend sowohl das Unternehmen als auch die Mitarbeiter, die beide das Risiko in diesen Situationen verstehen müssen“, sagt John Rogers.

Unternehmen können die folgenden Schritte unternehmen, um sich gegen DUCKTAIL und ähnliche Bedrohungen zu verteidigen:

  • Verstärken Sie den Fokus auf Spear-Phishing bei Benutzern mit Zugriff auf Facebook Business-Konten.
  • Erstellen Sie eine Übersicht über zugelassene Anwendungen mit einer Anwendungszulassungsliste, um zu verhindern, dass unbekannte Dateien, Programme und Prozesse ausgeführt werden.
  • Verwenden Sie EDR/EPP-Lösungen, um Malware in den frühen Stadien eines Angriffs zu verhindern und zu erkennen.
  • Stellen Sie sicher, dass verwaltete und private Geräte, die mit Facebook-Unternehmenskonten verwendet werden, mit grundlegenden Sicherheitslösungen und allgemein guter Cyberhygiene geschützt sind.
  • Verwenden Sie privates Surfen, wenn Sie mit Facebook Business-Konten arbeiten. Dann werden die Sessions nach Beendigung nicht gespeichert, wodurch verhindert wird, dass Cookies gestohlen und missbraucht werden.
  • Befolgen Sie die von Meta empfohlenen Sicherheitsverfahren.
  • Laden Sie relevante Protokolle so schnell wie möglich herunter und analysieren Sie sie, wenn Sie auf verdächtige Aktivitäten reagieren.


Source: IT-Kanalen by it-kanalen.dk.

*The article has been translated based on the content of IT-Kanalen by it-kanalen.dk. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!