Im Februar 2021 fiel uns über die Trend Micro Vision One-Plattform eine Serie verdächtiger Vorfälle auf, die in Verbindung zu einem Angriff der Conti Ransomware-Bande standen. Conti gilt als Nachfolger der berüchtigten Ryuk Ransomware-Familie. Die Bedrohungsakteure verbreiten die Malware nun zunehmend über dieselben Methoden wie früher Ryuk. So werden jetzt beispielsweise sowohl Trickbot/Emotet als auch BazarLoader für die Verbreitung von Conti verwendet. Wir wollen zeigen, wie Cobalt Strike Beacons (Backdoor.<Architecture>.COBEACON.SMA) dafür verwendet wird und wie die Trend Micro Vision One Plattform dabei unterstützt, diese Bedrohung zu verfolgen. Wir gehen davon aus, dass Forscher bei Sophos ebenfalls auf diese spezielle Gruppe von Bedrohungsakteuren gestoßen sind. Der von ihnen entdeckte Angriff und dieser hier zeigen Ähnlichkeiten in den verwendeten Techniken.
Die Angriffe wurden über das Panel Workbench entdeckt, das sowohl den SOCs der Kundenunternehmen als auch für die MDR-Forscher zugänglich ist. Es kann verwendet werden, um auf laufende Vorfälle zu reagieren und den Kontext zu laufenden Sicherheitsuntersuchungen zu ergänzen.
Das Workbench Panel gab zwei Warnungen für verdächtige Aktivitäten aus. Die Angreifer legten erst Stunden später die Conti Ransomware-Payload ab. Dies registrierte Trend Micros Predictive Machine Learning sofort. Die technischen Details liefert der Originalbeitrag.
Fehlender Eingangsvektor
Was nicht sofort klar ersichtlich war, war der Eingangsvektor des Cobalt Strike Beacons. Mit Hilfe der verschiedenen Funktionen von Trend Micro Vision One gingen wir der Sache auf den Grund. Mit der App Observed Attack Techniques (OAT) stellten wir fest, dass mehrere Endpunkte erst am 11. und 12. Februar dieses Jahres begannen, Daten an Trend Micro Vision One zu senden. Rückmeldungen aus dem Smart Protect Network deuten auf mögliche Cobalt Strike Beacon-Erkennungen in derselben Organisation am 4. Februar hin. Dies könnte der erste Versuch gewesen sein, die Organisation zu infiltrieren, der zunächst nicht erfolgreich war.
Über diesen potenziellen Angriff hinaus konnten wir keine spezifische Methode für den ersten Angriff bestimmen. Der Bedrohungsakteur könnte den Angriff auf ungeschützten oder anderweitig nicht überwachten Endpunkten initiiert haben.
Reaktion auf Incident Response
Das Unternehmen reagierte auf den Angriff, indem es weiteren zusätzlichen Schutz für seinen Endpunkten einrichtete. Der Bedrohungsakteur war sich dessen anscheinend bewusst, und als Reaktion beschloss er, sensible Informationen so schnell wie möglich wegzuschicken. Die OAT-App zeigte mehrere Trend Micro Vision One Filter-Treffer im Zusammenhang mit „Rarely Accessed IP Address“. Beim Aufrufen der Details zeigte sich, wo sie die gestohlenen Daten speichern. Zusätzliche Cobalt/Cobeacon-Varianten identifizierten wir ein paar Tage nach dem Ransomware-Vorfall. Das zeigt, dass die Angreifer immer noch Zugang zu nicht geschützten Endpunkten hatten.
Cobalt Strike unternahm auch weitere Erkundungen im System:
Die ausführliche technische Beschreibung der Ausbreitung von Cobalt Strike und der Conti-Ransomware finden Sie im Originalbeitrag.
Sicherheitsempfehlungen
Es ist zwar nicht klar, wie diese Bedrohung zuerst ins Opferunternehmen gelangte, aber Conti ist dafür bekannt, Phishing-E-Mails zu benutzen, um Downloader-Malware zu verteilen, die die Ransomware-Nutzlast enthält. Sensibilisierung und Schulungen im Umgang mit potenziellen Social-Engineering-Risiken helfen, das Risiko zu verringern.
Die umfassende XDR-Lösung wendet die effektivsten Expertenanalysen auf die Deep Data-Sätze an, die im gesamten Unternehmen gesammelt werden – einschließlich der Bereiche E-Mail, Endpunkte, Server, Cloud-Workloads und Netzwerke. So werden schneller Verbindungen hergestellt, um Angriffe zu identifizieren und zu stoppen. Leistungsstarke künstliche Intelligenz (KI) und Sicherheitsexperten-Analysen korrelieren Daten aus Kundenumgebungen mit den globalen Bedrohungsdaten von Trend Micro, um weniger und präzisere Warnungen zu liefern, was zu einer besseren, frühzeitigen Erkennung führt. Eine Konsole mit einer einzigen Quelle für priorisierte, optimierte Alarme, unterstützt durch geleitete Untersuchungen, vereinfacht die Schritte, die erforderlich sind, um den Angriffspfad und die Auswirkungen auf das Unternehmen vollständig zu verstehen.