@dfncert@infosec.exchangeVor einigen Tagen wurden (bei heise Online sowie Spiegel Online) Informationen veröffentlicht, nach denen bereits seit 2014 mehrere deutsche Universitäten Ziel von erfolgreichen Phishing-Angriffen mutmaßlich iranischer Akteure wurden. Diese Angriffe hatten das Ziel, Credentials von Nutzern der jeweiligen Einrichtung zu erbeuten, um bspw. unveröffentlichte Forschungsarbeiten ausspähen zu können.
Tatsächlich haben auch wir bereits seit Oktober 2016 derartige Angriffe beobachtet und betroffene Einrichtungen umgehend informiert. Mittlerweile liegen uns weitere Informationen vor, so dass wir derzeit neue Benachrichtigungen verschicken.
Technische Details zu den Angriffen sind in einem aktuellen Blog-Post der Firma PhishLabs (sowie hier) zu finden: hier sind entsprechende Phishing-Domains sowie zugehörige IP-Adressen aufgelistet, die für diese Angriffe verwendet wurden.
Obwohl die Angriffe seit etlichen Jahren laufen (und noch andauern) ist es ggf. ratsam, in Firewall- und anderen Logs nach entsprechenden Domains oder IP-Adressen zu suchen.
Update: Es wurden in den vergangenen Wochen weitere Phishing-Angriffe auf deutsche Hochschulen beobachtet, wie beispielsweise die Firma SecureWorks in einem Blog-Post berichtet (die Tätergruppe wird hier jedoch "COBALT DICKENS" genannt). Auch hier finden sich entsprechende Phishing-Domains sowie zugehörige IP-Adressen. Uns liegen neue Informationen vor; wir informieren nachwievor betroffene Einrichtungen.
2. Update: Die Angriffe finden nach wie vor statt: noch immer werden Phishing-Domains gegen deutsche Universitäten registriert und in Spam-E-Mails "beworben":
3. Update: Die Angriffe dauern unverändert an, wie die Firma SecureWorks in einem Blog-Post berichtet.
4. Update: Noch immer werden regelmässig neue Domains registriert und für Phishing-Wellen - auch gegen DFN-Mitgliedseinrichtungen - missbraucht, wie auch die Firma Malwarebytes beobachtet hat. Weitere aktuelle Informationen zu Silent Librarian sind bei den Kollegen von malpedia (Fraunhofer FKIE) zu finden.
Wir informieren betroffene Einrichtungen weiterhin, sobald wir Kenntnis über neue Phishing-Angriffe erhalten!
