Fake Office 365 wird für Phishing-Angriffe missbraucht

Originalartikel von Matsukawa Bakuei, Marshall Chen, Vladimir Kropotov, Loseway Lu, Fyodor Yarochkin

Die Sicherheitsforscher von Trend Micro untersuchten eine Phishing-Kampagne, die seit Mai 2020 hochrangige Ziele in der Fertigungs-, Immobilien-, Finanz-, Regierungs- und Technologiebranche in mehreren Ländern wie Japan, den USA, Großbritannien, Kanada, Australien und Europa anvisiert. Bis heute fanden sie über 300 eindeutige kompromittierte URLs und 70 E-Mail-Adressen von acht kompromittierten Sites, darunter 40 legitime E-Mails von CEOs, Direktoren, Eigentümern und Gründern von Unternehmen sowie anderen Unternehmensmitarbeitern. Trend Micro arbeitet nun mit den entsprechenden Behörden bei weiteren Ermittlungen zusammen.

Potenzielle Opfer werden mit Mails geködert, die gefälschte Office 365-Reports über den Verfall von Passwörtern enthalten. Die Empfänger sollen auf einen in der Mail enthaltenen Link klicken, falls sie dasselbe Passwort weiter verwenden wollen, die Wahl der Option „Keep Password“ leitet das Opfer dann an die Phishing-Seite weiter.

Bild 1. Eine MS Office365 Passwort-Reset E-Mail mit Link, der als Köder zur Phishing-Seite führt.

Die Angreifer verwenden eine kompromittierte Infrastruktur und die Zugangsdaten der Opfer wieder, um Phishing-Seiten zu hosten und weitere Opfer zu gewinnen, wie letztes Jahr berichtet. Das käuflich zu erwerbende Kit kann die Details und die Richtigkeit der Anmeldedaten überprüfen, sobald das Opfer mit dem eingebetteten Link interagiert.

Die Forscher fanden dazu auch einige Anzeigen in verschiedensprachigen Untergrundforen (Englisch und Russisch), in denen Cyberkriminelle den Verkauf von Kontendaten von CEOs, Chief Financial Officers (CFOs) und Mitarbeitern der Finanzabteilung bewarben. Es fiel auf, dass die Posts in den russischsprachigen Foren in Englisch gehalten waren und kürzlich registrierte Konten nutzten. Sie offerierten kompromittierte Office 365-Konten mit den entsprechenden Positionen der Mitarbeiter.

Bild 2. Post in einem Untergrundforum, in dem kompromittierte Kontenzugangsdaten angeboten werden.

Phishing Kit

Die Kampagnenbetreiber nutzten während der Aktionen dasselbe Phishing Kit. Die Sites, die das Kit hosteten waren nicht richtig konfiguriert, sodass Inhalte des Verzeichnisses exponiert waren und den Download des Kits und der dazugehörigen Log-Dateien ohne Authentifizierung erlaubten. Somit konnten auch die Forscher zusätzliche Einsicht in die Kampagne nehmen und Beweise für die mögliche Zuordnung der Kits sammeln. Sie gehen davon aus, dass die früheren Projekte der Kit-Entwickler als Vorläuferfunktionen fungierten, die zu den Office 365-Phishing-Kit-Versionen beitrugen, die anschließend im Untergrund verkauft wurden. Doch nach weiteren Untersuchungen des Profil des Entwicklers, fanden sie merkwürdige Verhaltensweisen, die weitere technische und rechtliche Untersuchungen rechtfertigen.

E-Mails über Drittanbieter-RDP

Die Analyse der SMTP Mail-Header der Köder-Samples ergab, dass die meisten Phishing-Mails über einen virtuellen privaten Server (VPS) von FireVPS verschickt wurden. Dieser bietet eine Reihe von Windows Remote Desktop Protocol (RDP)-Plänen für seine jeweiligen Kunden. Trend Micro hat FireVPS darüber informiert.

Beim Scannen anderer E-Mail-Samples auf E-Mails, die von einem FireVPS-RDP-Rechner gesendet wurden, fanden sie ähnliche Phishing-E-Mail-Templates. Die URL, die an ein Mitglied der Finanzabteilung gesendet wurde, enthielt ebenfalls die Informationen und Anmeldedaten des Empfängers. Eine Online-Suche ergab, dass das Profil und die E-Mail-Adresse des Empfängers genau mit den Informationen übereinstimmten, die in seinem LinkedIn-Konto aufgeführt waren.

Blocklist

Der Kit-Entwickler muss wohl viel Zeit für das Erstellen der Blocklist im Kit aufgewendet haben. Sie umfasst eine ausführliche Liste mit den Domain-Namen und IP-Adressen, um sicherzustellen, dass der Zugriff blockiert wird, sollte ein Sicherheitsanbieter oder großer Cloud Provider darauf zugreifen wollen. So soll wohl die Entdeckung verhindert werden, denn die Liste umfasst auch eine Reihe von Antiviren-Anbietern, wie Google, Microsoft, VirusTotal, sowie eine Liste anderer Cybersicherheitsanbieter.

Das gefundene Phishing Kit ist bereits die vierte Version des Toolkits. Frühere Versionen davon sind wohlbekannt, da sie im Untergrund und in den sozialen Medien weitläufig beworben wurden. Inhaltlich geht es in den Ködern hauptsächlich um das Bewahren des aktuellen Passworts. Einzelheiten dazu enthält der Originalbeitrag.

Neben der Blocklist gibt es in V4 auch andere Fähigkeiten, die möglicherweise die Erkennung erschweren. Dazu gehört die Fähigkeit, Bot Scanning oder Crawling zu erkennen und alternative Inhalte anzubieten, wenn Bots entdeckt werden.

Bild 3. Fähigkeiten des Office365 V4 Phishing Kit, die in den sozialen Medien veröffentlicht wurden.

Auch wird das Phishing Kit mit einer Lizenz verkauft, und ein verschleiertes PHP-Skript meldet sich beim System des Entwicklers zurück, um die Gültigkeit der Lizenz zu überprüfen. Bei der Rückverfolgung des Kit-Entwicklers konnten die Forscher die „Geschäfts“-Facebook-Seite mit persönlichen Seiten in Verbindung bringen. Sie informierten die entsprechenden Behörden darüber. Einzelheiten dazu enthält der Originalbeitrag.

In Untergrundforen gibt es zahlreiche Benutzer, die C-Level-Accounts verkaufen. Trend Micro hat diese Benutzer-Handles als Verkäufer einiger relevanter C-Level-Accounts in verschiedenen Foren identifiziert, wobei die Preise für diese Anmeldedaten zwischen 250 und 500 Dollar liegen. Einzelheiten dazu enthält der Originalbeitrag.

Mögliche Ziele und die Daten der Opfer

Die Analyse der Daten aus den gesammelten Protokolldateien der fehlkonfigurierten Websites ergab, dass die gestohlenen Anmeldeinformationen von acht kompromittierten Phishing-Sites stammten, auf denen das bösartige Office 365 V4-Kit gehostet wurde. Jede Website wurde möglicherweise von verschiedenen Phishern für unterschiedliche Phishing-Kampagnen von unterschiedlichem Umfang erstellt. Auch scheinen die Phisher die Mail-Adressen ihrer Opfer vor allem von LinkedIn gesammelt zu haben.

Bild 4. Die Verteilung der Angriffe, nach Position der Opfer im Unternehmen

Bild 5. Verteilung der Opfer nach Ländern

CEO-Mail-Adressen werden im Untergrund häufig mit dem Ziel gehandelt, sie für weitere Phishing-Angriffe zu verwenden, Zugang zu sensiblen Informationen zu erlangen oder Angriffe wie Business Email Compromise (BEC) durchzuführen.

Ein Blick auf verschiedene Untergrundforen und -seiten offenbarte auch spezifische Angebote für kompromittierte Anmeldedaten, die nach Jahr, Branche, Unternehmensposition und Social-Media-Plattform-Anmeldedaten kategorisiert sind. Um eine Zielliste zu erstellen, gibt es eine Reihe von Plattformen, die Listen von CFO/CEO-E-Mails, Facebook-Profilen und mehr verkaufen, kategorisiert nach Region und Land. Die Angreifer könnten Ziellisten von einer dieser Websites gekauft haben.

Fazit

Der Umfang und die Genauigkeit der E-Mails und Anmeldedaten zeigen, dass der Angreifer über einen genauen Datensatz von Opfern und potenziellen Zielen verfügt. Während der Angreifer die E-Mails einfach von den Websites der anvisierten Organisationen hätte zusammenstellen können, ging er einen Schritt weiter, um diese zu validieren und sicherzustellen, dass sie die aus dem öffentlichen Bereich gesammelten Daten ergänzen. Indem der Angreifer gezielt Mitarbeiter der C-Ebene ins Visier nahm, erhöhte er den Wert der erlangten Zugangsdaten erheblich, da diese zu weiterem Zugriff auf sensible persönliche und organisatorische Daten führen und in anderen Angriffen verwendet werden könnten.

Mitarbeiter sollten ständig daran denken, auf die Details zu achten, die sie auf persönlichen Seiten preisgeben. Alle Mitarbeiter, unabhängig vom Rang im Unternehmen, sollten Vorsicht walten lassen, wenn sie auf E-Mail-Aufforderungen zu bestimmten Handlungen reagieren, insbesondere wenn die Mails aus unbekannten Quellen stammen.

In Anbetracht dessen werden seriöse Service-Provider und Anbieter Einzelpersonen und Unternehmensanwender niemals nach Details wie Zugangsdaten für Konten fragen und insbesondere keine veralteten Passwörter aufbewahren. Diese Details sind anfällig für den Missbrauch durch unbefugte und böswillige Personen und werden von Anbietern den jeweiligen Sicherheits- und IT-Teams zur Anpassung an die Unternehmensrichtlinien überlassen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.