Die Threat Analysis Group (TAG) von Google hat am Donnerstag bekannt gegeben, dass sie 36 bösartige Domains blockiert hat, die von Hackergruppen aus Indien, Russland und den Vereinigten Arabischen Emiraten betrieben werden.
Ähnlich wie das Ökosystem der Überwachungsprogramme rüsten Hack-for-Hire-Firmen ihre Kunden mit Fähigkeiten aus, die gezielte Angriffe auf Unternehmen, Aktivisten, Journalisten, Politiker und andere Risikonutzer ermöglichen.
Der Unterschied besteht darin, dass die Kunden die Spionagesoftware von kommerziellen Anbietern kaufen und sie dann selbst einsetzen, während die Betreiber von Hack-for-Hire-Angriffen dafür bekannt sind, dass sie die Angriffe im Namen ihrer Kunden durchführen, um ihre Rolle zu verschleiern.
„Die Hack-for-Hire-Landschaft ist fließend, sowohl in Bezug auf die Art und Weise, wie sich die Angreifer organisieren, als auch in Bezug auf die große Bandbreite an Zielen, die sie in einer einzigen Kampagne im Auftrag unterschiedlicher Kunden verfolgen“, so Shane Huntley, Direktor von Google TAG, in einem Bericht.
„Einige Hack-For-Hire-Angreifer bieten ihre Produkte und Dienstleistungen offen für jeden an, der zu zahlen bereit ist, während andere diskreter vorgehen und nur ein begrenztes Publikum ansprechen.
Die jüngste Kampagne eines indischen Hack-For-Hire-Anbieters soll ein IT-Unternehmen in Zypern, eine Bildungseinrichtung in Nigeria, ein Fintech-Unternehmen auf dem Balkan und ein Einkaufsunternehmen in Israel zum Ziel gehabt haben, was die Bandbreite der Opfer zeigt.
Das indische Unternehmen, das Google TAG nach eigenen Angaben seit 2012 verfolgt, wurde mit einer Reihe von Phishing-Angriffen in Verbindung gebracht, deren Ziel es war, Anmeldedaten von Behörden, Amazon Web Services (AWS) und Gmail-Konten zu sammeln.
Bei der Kampagne werden Spear-Phishing-E-Mails verschickt, die einen gefälschten Link enthalten, der, wenn er angeklickt wird, eine von den Angreifern kontrollierte Phishing-Seite aufruft, die darauf abzielt, die von ahnungslosen Nutzern eingegebenen Zugangsdaten abzugreifen. Zu den Zielgruppen gehörten Behörden, das Gesundheitswesen und die Telekommunikationsbranche in Saudi-Arabien, den Vereinigten Arabischen Emiraten und Bahrain.
Google TAG schrieb die indischen Hacker einer Firma namens Rebsec zu, die laut ihrem stillgelegten Twitter-Account die Abkürzung für „Rebellion Securities“ ist und ihren Sitz in Amritsar hat. Auf der Website des Unternehmens, die derzeit wegen „Wartungsarbeiten“ nicht erreichbar ist, wird behauptet, dass es auch Wirtschaftsspionagedienste anbietet.
Eine ähnliche Reihe von Angriffen auf Journalisten, europäische Politiker und gemeinnützige Organisationen wurde mit einem russischen Akteur namens Void Balaur in Verbindung gebracht, einer Cyber-Söldnergruppe, die erstmals im November 2021 von Trend Micro dokumentiert wurde.
In den letzten fünf Jahren soll das Kollektiv Konten bei großen Webmail-Anbietern wie Gmail, Hotmail und Yahoo! sowie bei regionalen Webmail-Anbietern wie abv.bg, mail.ru, inbox.lv und UKR.net ins Visier genommen haben.
Schließlich berichtet TAG auch über die Aktivitäten einer Gruppe mit Sitz in den Vereinigten Arabischen Emiraten, die Verbindungen zu den ursprünglichen Entwicklern des Remote-Access-Trojaners njRAT (auch bekannt als H-Worm oder Houdini) hat.
Die Phishing-Angriffe, die bereits 2018 von Amnesty International aufgedeckt wurden, nutzen Köder zum Zurücksetzen von Passwörtern, um Anmeldedaten von Zielpersonen in Behörden, Bildungseinrichtungen und politischen Organisationen im Nahen Osten und Nordafrika zu stehlen.
Nach der Kompromittierung des Kontos bleiben beide Bedrohungsakteure hartnäckig, indem sie einer legitimen E-Mail-Anwendung wie Thunderbird ein OAuth-Token gewähren, ein App-Passwort generieren, um über IMAP auf das Konto zuzugreifen, oder das Gmail-Konto des Opfers mit einem gegnerischen Konto bei einem anderen E-Mail-Anbieter verknüpfen.
Die Ergebnisse kommen eine Woche, nachdem Google TAG Details über eine italienische Spyware-Firma namens RCS Lab enthüllte, deren „Hermit“-Hacking-Tool verwendet wurde, um Android- und iOS-Nutzer in Italien und Kasachstan anzugreifen.