Paradies für Angreifer: überfällige Rechnungen und „Living-off-the-Land“

Basierend auf den Daten von Millionen Endgeräten, auf denen HP Wolf Security läuft, konnten Security-Experten mehrere Kampagnen identifizieren. In einer raffinierten WikiLoader-Kampagne nutzten die Angreifer sogenannte offenen Weiterleitungen, Schwachstellen auf Websites, aus, um nicht entdeckt zu werden. So wurden Benutzer oft durch offene Weiterleitungsschwachstellen in Werbeeinbettungen auf vertrauenswürdige Websites umgeleitet. Anschließend wurden sie direkt auf bösartige Websites weitergeleitet, so dass es fast unmöglich war, den Wechsel zu erkennen.

Windows Background Intelligent Transfer Service

Mehrere Kampagnen missbrauchten den Windows Background Intelligent Transfer Service (BITS) – einen legitimen Mechanismus, den Programmierer und Systemadministratoren zum Herunter- oder Hochladen von Dateien auf Webserver und File Shares verwenden. Diese LotL-Technik half den Angreifern, unentdeckt zu bleiben, indem sie BITS zum Herunterladen der bösartigen Dateien nutzten.

Gefälschte Rechnungen dienen als Grundlage für HTML-Schmuggelangriffe. Die Malware war in HTML-Dateien versteckt, die als als Lieferrechnungen getarnt waren. Diese lösten bei Öffnung in  einem Webbrowser eine Ereigniskette aus, bei der die Open-Source-Malware AsyncRAT eingesetzt wurde. Interessanterweise schenkten die Angreifer dem Design des Köders wenig Aufmerksamkeit, was darauf hindeutet, dass der Angriff nur mit geringem Zeit- und Ressourcenaufwand durchgeführt wurde.

Datenzugriff schnell monetarisierbar

„Das Ködern mit Rechnungen ist einer der ältesten Tricks überhaupt, aber er ist nach wie vor sehr effektiv und daher lukrativ. Mitarbeiter in Finanzabteilungen sind daran gewöhnt, Rechnungen per E-Mail zu erhalten, so dass sie diese mit größerer Wahrscheinlichkeit öffnen. Im Erfolgsfall lässt sich der Datenzugriff schnell monetarisieren, indem sie die Informationen  verkaufen oder Ransomware einsetzen“, so Patrick Schläpfer, Principal Threat Researcher im HP Wolf Security Threat Research Team.

Mindestens zwölf Prozent der von HP Sure Click[i] identifizierten E-Mail-Bedrohungen umgingen einen oder mehrere E-Mail-Gateway-Scanner. Die wichtigsten Bedrohungsvektoren im ersten Quartal waren E-Mail-Anhänge (53 Prozent), Downloads von Browsern (25 Prozent) und andere Infektionsvektoren wie Wechseldatenträger, zum Beispiel USB-Sticks, sowie File Shares (22 Prozent). In diesem Quartal basierten mindestens 65 Prozent der Dokumentenbedrohungen auf einem Exploit zur Ausführung von Code und nicht auf Makros.

Defense-in-Depth-Ansatz verfolgen

Dr. Ian Pratt, Global Head of Security for Personal Systems bei HP: „Die ‚Living-off-the-Land‘-Techniken zeigen die fundamentalen Schwachstellen auf, wenn man sich nur auf die Erkennung verlässt. Da die Angreifer legitime Tools verwenden, ist es schwierig, Bedrohungen zu erkennen, ohne eine Vielzahl störender Fehlalarme zu verursachen. Die Angriffsisolation bietet selbst dann Schutz, wenn eine Bedrohung nicht erkannt wird. Sie  verhindert, dass Malware Benutzerdaten oder Anmeldeinformationen exfiltriert oder löscht, und dass Angreifer weiterhin aktiv bleiben. Aus diesem Grund sollten Unternehmen bei der Sicherheit einen Defense-in-Depth-Ansatz verfolgen und risikoreiche Aktivitäten isolieren und eindämmen, um so die Angriffsfläche zu verringern.“

Die Daten

wurden zwischen Januar und März 2024 bei HP Wolf Security Kunden gesammelt, die dazu ihre Zustimmung gegeben hatten.