Operation HookedWing: Phishing-Kampagne trifft über 500 Organisationen in vier Jahren

Zusammenfassung

Seit mehr als vier Jahren läuft eine Phishing-Kampagne, die hunderte Opfer in zahlreichen Branchen gefunden hat. Das berichtet das Sicherheitsunternehmen SOCRadar. Die als Operation HookedWing bezeichnete Kampagne wurde erstmals 2022 dokumentiert, blieb seither aber durchgehend aktiv und passte ihre Infrastruktur an, während die grundlegenden Muster weitgehend unverändert blieben. Im Verlauf von vier Jahren wurden nach Angaben von SOCRadar mehr als 2.000 Zugangsdaten bei über 500 Organisationen entwendet. Betroffen sind die Branchen Luftfahrt und Reise, kritische Infrastruktur, Energie, Finanzwesen, Behörden, Logistik, öffentliche Verwaltung und Technologie. SOCRadar zufolge folgt die Opferauswahl keinem Zufall, sondern konzentriert sich auf Infrastruktur von hoher geopolitischer Relevanz. Das Interesse gelte besonders Umgebungen mit Zugriff auf sensible Informationen, kritische Abläufe oder hoch privilegierte Zugangsdaten, die an andere Angreifer verkauft oder von ihnen genutzt werden können.

Die Kampagne hat ihre technische Grundlage über die Jahre mehrfach verändert. Zwischen 2022 und 2024 nutzte Operation HookedWing nach Darstellung von SOCRadar GitHub-Domains mit englischsprachigen Inhalten sowie kompromittierte Server als Infrastruktur; die Angriffe setzten überwiegend auf Köder mit Microsoft- und Outlook-Bezug.

In den Jahren 2024 und 2025 weitete der Angreifer sein Vorgehen mit französischsprachigen Inhalten aus und griff weiterhin auf GitHub, kompromittierte Server und die bereits zuvor beobachteten Phishing-Themen zurück. Ab 2025 erweiterte er sowohl die aktive Infrastruktur als auch die Köder: GitHub-Domainnamen wurden verschleiert, weitere Themen kamen hinzu, und zusätzliche Landingpages wurden eingesetzt.

SOCRadar identifizierte rund zwei Dutzend Command-and-Control-Server, die mit Operation HookedWing in Verbindung stehen, dazu über 100 GitHub-Domains und mehr als ein Dutzend Verteildomains auf anderen Plattformen.

Die Kampagne stützt sich auf Phishing-E-Mails, die sich als Personalabteilung oder Kollegen ausgeben oder als Benachrichtigungen auftreten. Die Nachrichten sind schlicht aufgebaut und darauf angelegt, Autorität und Dringlichkeit zu vermitteln, ohne Verdacht zu erregen. Viele enthalten Links zu GitHub-Repositories, teils mit Zwischenstationen auf anderen Plattformen.

Die Landingpages ahmen das Verhalten von Microsoft Outlook nach. Über einen bildschirmfüllenden Vorlade-Bildschirm wird der angezeigte Text auf die jeweilige Organisation des Opfers zugeschnitten. Laut SOCRadar verstärkt das die Glaubwürdigkeit: Sieht das Opfer während des Ladevorgangs den eigenen Organisationsnamen oder einen Bezug zur vorangegangenen E-Mail, wirkt die Umgebung vertrauenswürdiger, bevor das Eingabeformular erscheint.

Im Hintergrund prüft ein Skript E-Mail-Adresse und URL, blendet ein PHP-Formular mit vorausgefüllten Feldern zum Abgreifen der Zugangsdaten ein und ruft Geolokalisierungsdaten des Opfers ab. Klickt das Opfer auf die Anmeldeschaltfläche, erhält der Angreifer SOCRadar zufolge in einem einzigen Datensatz die E-Mail-Adresse, das Passwort, die IP-Adresse, die vollständige Geolokalisierung, die Quell-URL und die Organisationsdomain des Opfers.

Operation HookedWing: Phishing-Kampagne trifft über 500 Organisationen in vier Jahren

Ähnliche Artikel

Neueste Artikel