Paradies für Angreifer: überfällige Rechnungen und „Living-off-the-Land“

Basierend auf den Daten von Millionen Endgeräten, auf denen HP Wolf Security läuft, konnten Security-Experten mehrere Kampagnen identifizieren. In einer raffinierten WikiLoader-Kampagne nutzten die Angreifer sogenannte offenen Weiterleitungen, Schwachstellen auf Websites, aus, um nicht entdeckt zu werden. So wurden Benutzer oft durch offene Weiterleitungsschwachstellen in Werbeeinbettungen auf vertrauenswürdige Websites umgeleitet. Anschließend wurden sie direkt auf bösartige Websites weitergeleitet, so dass es fast unmöglich war, den Wechsel zu erkennen.

Windows Background Intelligent Transfer Service

Mehrere Kampagnen missbrauchten den Windows Background Intelligent Transfer Service (BITS) – einen legitimen Mechanismus, den Programmierer und Systemadministratoren zum Herunter- oder Hochladen von Dateien auf Webserver und File Shares verwenden. Diese LotL-Technik half den Angreifern, unentdeckt zu bleiben, indem sie BITS zum Herunterladen der bösartigen Dateien nutzten.

Gefälschte Rechnungen dienen als Grundlage für HTML-Schmuggelangriffe. Die Malware war in HTML-Dateien versteckt, die als als Lieferrechnungen getarnt waren. Diese lösten bei Öffnung in  einem Webbrowser eine Ereigniskette aus, bei der die Open-Source-Malware AsyncRAT eingesetzt wurde. Interessanterweise schenkten die Angreifer dem Design des Köders wenig Aufmerksamkeit, was darauf hindeutet, dass der Angriff nur mit geringem Zeit- und Ressourcenaufwand durchgeführt wurde.

Datenzugriff schnell monetarisierbar

„Das Ködern mit Rechnungen ist einer der ältesten Tricks überhaupt, aber er ist nach wie vor sehr effektiv und daher lukrativ. Mitarbeiter in Finanzabteilungen sind daran gewöhnt, Rechnungen per E-Mail zu erhalten, so dass sie diese mit größerer Wahrscheinlichkeit öffnen. Im Erfolgsfall lässt sich der Datenzugriff schnell monetarisieren, indem sie die Informationen  verkaufen oder Ransomware einsetzen“, so Patrick Schläpfer, Principal Threat Researcher im HP Wolf Security Threat Research Team.

Mindestens zwölf Prozent der von HP Sure Click[i] identifizierten E-Mail-Bedrohungen umgingen einen oder mehrere E-Mail-Gateway-Scanner. Die wichtigsten Bedrohungsvektoren im ersten Quartal waren E-Mail-Anhänge (53 Prozent), Downloads von Browsern (25 Prozent) und andere Infektionsvektoren wie Wechseldatenträger, zum Beispiel USB-Sticks, sowie File Shares (22 Prozent). In diesem Quartal basierten mindestens 65 Prozent der Dokumentenbedrohungen auf einem Exploit zur Ausführung von Code und nicht auf Makros.

Defense-in-Depth-Ansatz verfolgen

Dr. Ian Pratt, Global Head of Security for Personal Systems bei HP: „Die ‚Living-off-the-Land‘-Techniken zeigen die fundamentalen Schwachstellen auf, wenn man sich nur auf die Erkennung verlässt. Da die Angreifer legitime Tools verwenden, ist es schwierig, Bedrohungen zu erkennen, ohne eine Vielzahl störender Fehlalarme zu verursachen. Die Angriffsisolation bietet selbst dann Schutz, wenn eine Bedrohung nicht erkannt wird. Sie  verhindert, dass Malware Benutzerdaten oder Anmeldeinformationen exfiltriert oder löscht, und dass Angreifer weiterhin aktiv bleiben. Aus diesem Grund sollten Unternehmen bei der Sicherheit einen Defense-in-Depth-Ansatz verfolgen und risikoreiche Aktivitäten isolieren und eindämmen, um so die Angriffsfläche zu verringern.“

Die Daten

wurden zwischen Januar und März 2024 bei HP Wolf Security Kunden gesammelt, die dazu ihre Zustimmung gegeben hatten.

Roger Homrich

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

21 Stunden ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago