Wir beobachten in den letzten Wochen verstärkt Aktivitäten der "Zipline" Phishing Kampagne. Die Kampagne verbreitet ZIP-Dateien mit getarnten Angeboten für eine Anstellung bei einer Firma.
Folgende Fakten zu dieser Kampagne sind aktuell bekannt und wiederkehrend:
Die ZipLine-Kampagne zielt insbesondere auf Industrieunternehmen und exportorientierte KMU ab.
Angreifende treten als Recruiter:innen / Personalvermittler:innen auf und bauen über längere Zeiträume einen legitimen E-Mail-Verkehr auf.
Erst nach Tagen/Wochen wird eine präparierte ZIP-Datei zugestellt, die den initialen Zugriff auf ein Device der Organisation ermöglicht.
Angreifende personalisieren die Phishing Dateien für den angegriffenen Account.
CERT.at berichtet ebenfalls von einer Nutzung dieser initialen Zugänge durch die Qilin Ransomware Gruppe.
Empfohlene Maßnahmen:
Prüfen, ob Mails von bekannten IoC Domains empfangen wurden
Blockieren neu registrierter Domains
Sensibilisierung der Mitarbeitenden für langfristig aufgebaute Social-Engineering-Kampagnen mit Recruiting Kontext
Analyse von ZIP-Anhängen aus Recruiting-Kontext
Sicherstellung von EDR/XDR Onboarding von Assets
Firewall / EDR Block für *.herokuapp[.]com wenn möglich
Einschätzung der Bedrohung:
Die Kombination aus zielgerichtetem Social Engineering (ZipLine) und nachgelagerter Ransomware-Nutzung stellt eine ernsthafte Bedrohung für Unternehmen im DACH-Raum dar. Besonders kritisch ist die hohe Glaubwürdigkeit der Angriffskette durch langfristig aufgebaute Kommunikation.
Unsere Expert:innen im ACP Systems Operations Center (SOC) stehen Ihnen mit Rat und Tat zur Seite. Teilen Sie uns einfach über nachfolgendes Formular mit, bei welchem Problem wir Ihnen helfen können.
-1.png?width=238&height=69&name=acp_itforinnovators_logo_RGB%20(1)-1.png "Logo | ACP - IT for innovators."){kind=logo}
