Sophos entdeckt raffinierte neue Kompromittierungsmethoden und Social Engineering-Angriffe gegen ein Schweizer Unternehmen.

Sophos discovers sophisticated new compromise methods and social engineering attacks against a Swiss company.

Sophos hat bei der Untersuchung eines infizierten Computers eine perfide, kombinierte Angriffstaktik aufgedeckt: Alles begann mit einem harmlos klingenden Anruf. Die Kombination von Telefon- und E-Mail-Ködern in dieser komplexen Angriffskette weist auf neue Taktiken hin, mit denen Cyberkriminelle ihre Malware verbreiten.

 

Die ausgewerteten Informationen deuten auf eine komplexe neue Angriffstaktik hin, die glaubwürdige Telefon- und E-Mail-Kommunikation kombiniert, um die Kontrolle über Unternehmensnetzwerke zu übernehmen und Daten zu stehlen. Die Malware selbst wurde auf sehr ungewöhnliche Weise geliefert: Ein Anrufer überzeugte das Ziel, eine E-Mail-Nachricht zu öffnen, die keinen Text enthielt, sondern als Grafik gestaltet war, um einer Outlook-E-Mail-Nachricht zu ähneln. Dadurch wurde der Download einer verlinkten bösartigen Electron-Anwendung ausgelöst.

 

„Ich möchte eine Lieferung zu Ihnen bringen.“

 

Der Anrufer erklärte dem Mitarbeiter, dass er ein Lieferant sei, der ein dringendes Paket für einen der Standorte des Unternehmens habe, aber niemand dort sei, um das Paket in Empfang zu nehmen. Er bat um eine neue Lieferadresse am Standort des Mitarbeiters. Um das Paket erneut zustellen zu können, müsse der Mitarbeiter ihm einen Code vorlesen, den ihm das Transportunternehmen per E-Mail zusenden würde. Noch während der Anrufer mit dem Mitarbeiter telefonierte, erhielt dieser die angekündigte E-Mail. Die E-Mail enthielt den Hinweis, dass eine angehängte PDF-Datei den erforderlichen Code enthalte.

 

Diese in perfektem Französisch verfasste E-Mail löste die folgende Angriffskette aus. Tatsächlich war die gesamte Nachricht eine Fälschung, die nur wie eine E-Mail mit einem PDF-Anhang aussah. Sowohl der „Anhang“ als auch die Textnachricht waren in Wirklichkeit nur statische Bilder, die in den Nachrichtentext eingebettet waren. Unter Anleitung des Betrügers am Telefon klickte der Mitarbeiter auf das Bild, was zum Download der Schadsoftware führte.

 

Sie wussten: Man spricht Deutsch

 

Obwohl die E-Mail-Nachricht wie erwähnt in französischer Sprache verfasst war, deuten technische Hinweise darauf hin, dass die Angreifer bereits wussten, dass die Schweizer Zielperson möglicherweise deutschsprachig ist. Die Sophos-Analysten konnten zudem nachvollziehen, dass die Angreifer möglicherweise den Anrufempfänger persönlich ins Visier genommen hatten und eine aufwändige Social Engineering-Angriffskette erstellten. Diese führte dazu, dass die Cyberkriminellen kurzzeitig die Kontrolle über den Computer des Mitarbeiters übernahmen, bevor dieser buchstäblich den (Ethernet-)Stecker aus dem kompromittierten Computer zog. Der aufmerksame Mann spürte, dass etwas nicht stimmte und trennte den infizierten Computer vom Netzwerk. Leider jedoch nicht mehr rechtzeitig, bevor die schädliche Nutzlast aktiv war.

 

„Dieser Angriff war äußerst gezielt. An diesem Freitag war nur eine Person im Büro, und die Angreifer kannten wahrscheinlich die Identität dieser Person. Die Verwendung eines Bildes, das sich als E-Mail tarnt, ist ebenfalls etwas, das wir bisher nicht gesehen haben. Allerdings ist es clever. Das Anhängen eines tatsächlichen PDF löst oft Alarm auf Systemen aus, da sie häufig zur Verbreitung von Malware verwendet werden, und E-Mails mit PDFs landen oft in Spam-Filtern“, sagte Andrew Brandt, Principal Researcher bei Sophos.

 

Nach dem Eindringen in das Netzwerk nutzten die Kriminellen Malware, um nach einer Vielzahl von Informationen zu suchen, einschließlich Buchhaltungssoftware-Daten, Cookies, Browsing-Verlauf sowie Passwörtern und Kryptowährungs-Wallets. Um ihre Datenausschleusung zu verbergen, verbanden die Angreifer das System mit Tor (dem Dark Web). Der Mitarbeiter, der den Braten schließlich roch und den Stecker zog, verhinderte schlimmere Folgen für sein Unternehmen.

 

Gekonnt „gescamt“ und es geht bereits weiter

 

„Diese Art von hoch raffiniertem Angriff zeigt, wie weit Cyberkriminelle gehen, um Abwehrwerkzeuge zu umgehen und das Vertrauen von Menschen zu gewinnen. Phishing-Angriffe sind äußerst effektiv, und wir haben gesehen, wie Angreifer ihre Social Engineering-Taktiken mit neuer Technologie weiterentwickeln. Obwohl Angreifer heutzutage eher E-Mails verwenden, bedeutet das nicht, dass Telefonanrufe veraltet sind. Wir schulen Mitarbeitende viel im Bereich E-Mail-Sicherheit, aber wir lehren sie nicht unbedingt, wie sie mit ungewöhnlichen Telefonanrufen umgehen sollen. In diesem Fall hat der Mitarbeiter schnell reagiert und geistesgegenwärtig gehandelt,“ sagte Brandt.

 

Nach dem Angriff auf das Schweizer Unternehmen entdeckte Sophos X-Ops einen weiteren Angriff mit demselben Vorgehen gegen ein Unternehmen in Australien. Welche Gruppe auch immer hinter diesen Angriffen steckt – sie ist wahrscheinlich immer noch aktiv, und Sophos wird die Situation überwachen.

Sophos’s investigation of an infected computer has uncovered a perfidious, combined attack tactic: it all started with an innocuous-sounding phone call. The combination of phone and email bait in this complex attack chain points to new tactics cybercriminals are using to spread their malware.

 

The information analyzed points to a complex new attack tactic that combines credible phone and email communications to take control of corporate networks and steal data. The malware itself was delivered in a very unusual way: A caller convinced the target to open an email message that contained no text, but was designed as a graphic to resemble an Outlook email message. This triggered the download of a linked malicious Electron application.

 

„I want to bring a delivery to you.“

 

The caller told the employee that he was a delivery man who had an urgent package for one of the company’s locations, but no one was there to receive the package. He asked for a new delivery address at the employee’s location. In order to redeliver the package, the employee would have to read him a code that the carrier would email to him. While the caller was still on the phone with the employee, he received the announced e-mail. The e-mail contained a note that an attached PDF file contained the required code.

 

This email, written in perfect French, triggered the following chain of attacks. In fact, the entire message was a fake that only looked like an email with a PDF attachment. Both the „attachment“ and the text message were actually just static images embedded in the message body. Guided by the scammer on the phone, the employee clicked on the image, which led to the download of the malware.

 

They knew: German was spoken

 

Although the email message was written in French, as mentioned, technical evidence suggests that the attackers already knew that the Swiss target might be a German speaker. Sophos analysts were also able to understand that the attackers may have personally targeted the call recipient and created an elaborate social engineering attack chain. This resulted in the cybercriminals briefly taking control of the employee’s computer before he literally pulled the (Ethernet) plug from the compromised computer. The alert man sensed that something was wrong and disconnected the infected computer from the network. Unfortunately, however, he didn’t do it in time before the malicious payload was active.

 

„This attack was extremely targeted. There was only one person in the office that Friday, and the attackers likely knew that person’s identity. Using an image masquerading as an email is also something we haven’t seen before. However, it is clever. Attaching an actual PDF often sets off alarms on systems, as they are often used to spread malware, and emails containing PDFs often end up in spam filters,“ said Andrew Brandt, principal researcher at Sophos.

 

After infiltrating the network, the criminals used malware to search for a variety of information, including accounting software data, cookies, browsing history, as well as passwords and cryptocurrency wallets. To hide their data exfiltration, the attackers connected the system to Tor (the dark web). The employee who finally smelled a rat and pulled the plug prevented worse consequences for his company.

 

Skillfully „scammed“ and it’s already going on

 

„This type of highly sophisticated attack shows the lengths to which cybercriminals will go to bypass defensive tools and gain people’s trust. Phishing attacks are extremely effective, and we’ve seen attackers evolve their social engineering tactics with new technology. Although attackers are more likely to use email these days, that doesn’t mean phone calls are outdated. We train employees a lot on email security, but we don’t necessarily teach them how to handle unusual phone calls. In this case, the employee reacted quickly and had presence of mind,“ Brandt said.

 

After the attack on the Swiss company, Sophos X-Ops discovered another attack with the same approach against a company in Australia. Whatever group is behind these attacks is likely still active, and Sophos will monitor the situation.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Cookie Consent mit Real Cookie Banner