Managed XDR untersucht Spear-Phishing-Kampagne
Mithilfe unseres Managed XDR Teams konnten wir eine umfassende Spear-Phishing-Kampagne mit dem RedLine Stealer aufdecken und untersuchen. Mit diesem Wissen können Unternehmen besser auf Angriffe reagieren und künftige verhindern.
Save to Folio
Kürzlich beobachteten wir einen sprunghaften Anstieg der Zahl der bei einem unserer Kunden eingegangenen Mails fest. Nach weiteren Nachforschungen entdeckten wir drei weitere Kunden aus dem Gastgewerbe, die ebenfalls betroffen waren. Die Betreffzeilen der meisten Mails waren darauf ausgerichtet, die Aufmerksamkeit der Opfer zu erregen: „Hilfe“, „Bitte um Unterstützung“, „Routenplan“, „Ich bin es von booking.com“ und „Reservierung buchen“ lautete der Betreff. Einige enthielten auch ein „Re:“, um den Anschein zu erwecken, es handele sich um eine Antwort.
Der Text sollte die Opfer, zumeist Hotelangestellte, dazu verleiten, auf einen Dropbox-Link zu klicken, der Malware enthielt. Außerdem wurden mit Bitly gekürzte URLs verwendet, die zu Dropbox-Links mit bösartigen Dateien weiterleiteten.
Leider fielen einige Benutzer darauf herein und luden unwissentlich Malware über die bösartigen Mails herunter. Bei der Analyse stachen die Dateigrößen der extrahierten Malware-Samples ins Auge. Normalerweise liegt die Größe von Malware-Dateien zwischen einem Kbyte und ein paar Mbyte. Die Samples jedoch hatten untypisch große Dateien zwischen 494,7 MB und bis zu 929,7 MB.
Technische Analyse
Wir haben ein Sample einer Spear-Phishing-Mail analysiert. Der böswillige Akteur gibt sich als älterer Erwachsener aus und bittet um die Überprüfung der Richtigkeit seiner Route durch einen Mitarbeiter des Hotels. Ein beigefügter Shortlink führte angeblich zu Bildern seiner Route. Auf den ersten Blick scheint es sich um eine typische, einmalige Spam-Mail zu handeln, die eine verkürzte URL enthält, die Malware ablegt.
Wir gehen davon aus, dass es sich um eine Spear-Phishing-Kampagne handelt, die speziell auf Mitarbeiter des Hotelgewerbes abzielt. Als nächstes spricht der böswillige Akteur den Hotelangestellten höflich und scheinbar hilflos an, um ihn dazu zu bringen, einen Link anzuklicken, der nicht zu einem Routendiagramm, sondern tatsächlich zum Payload der Malware führt.
Mithilfe der Trend Micro Vision One™-Lösung erkannten wir, dass der Mitarbeiter den Link mit outlook.exe öffnete, wodurch eine Zip-Datei namens Christian-Robinson-Route.zip heruntergeladen wurde. Sie enthielt eine weitere Datei mit der doppelten Extension Christian-Robinson-Route.jpg.exe. Dies ist eine Taktik, mit der kriminelle Akteure ihre Opfer dazu bringen, bösartige Dateien herunterzuladen und auszuführen.
Die extrahierte und gestartete Christian-Robinson-Route.jpg.exe-Datei stieß eine Reihe von Ereignissen an:
Die Kampagne lässt sich in vier Abschnitte einteilen:
- Abschnitt 1: Christian-Robinson-Route.jpg.exe legt setupsoftwarefile_v7.7.exe ab: Die Datei enthält eine Menge an Füllmaterial. Dies ist eine alte Technik, die von Malware-Autoren verwendet wird, um Antiviren-Erkennung, Sandbox-Analyse und YARA-Regeln zu umgehen. Hier handelt es sich entweder um zufällige Bytes oder wiederholte Zeichenfolgen, was möglicherweise auf den verwendeten Builder oder Packer zurückzuführen ist. Bei der Ausführung legt er eine MSIL-Datei setupsoftwarefile_v7.7.exe ab und führt sie über cmd.exe aus. Sie wird dann entschlüsselt und ein PowerShell-Skript ausgeführt.
- Abschnitt 2: Das PowerShell Skript holt eine verschlüsselte Datei von hxxp://45.93.201[.]62/docs/
- Abschnitt 3: die Ferriteswarmed.exe MSIL-Datei entschlüsselt Image-Dateien, die die RedLine Stealer Payload bilden: Der Ressourcenteil einer Portable Executable (PE)-Datei enthält die Ressourceninformationen eines Moduls. In vielen Fällen werden dort Icons und Bilder angezeigt, die Teil der Ressourcen einer Datei sind. In diesem Fall wird die neue MSIL-Datei Ferriteswarmed.exe eine andere Payload entschlüsseln, die als verschlüsselte Bilder aus ihren Ressourcen getarnt ist - den Redline Stealer. Der RedLine Stealer wird dann in die Datei aspnet_compiler.exe injiziert.
- Abschnitt 4: RedLine Stealer schickt gestohlene Info an C&C-Server: Mithilfe von Vision One konnten wir die Art von Informationen ermitteln, die RedLine Stealer sammelt. Dazu gehören Betriebssystem-, Videocontroller-, Prozessor-, Antiviren-, Prozess- und Festplattendaten über die Windows Management Instrumentation (WMI). Der Stealer kann auch Daten aus Browsern, Kryptowährungs-Wallets, VPN-Anwendungen und anderen Quellen sammeln.
Security Scorecard hat einen detaillierten Bericht über RedLine Stealer veröffentlicht, der auch eine ausführliche Liste der gesammelten Daten enthält.
Alle Details zu unserer Analyse beinhaltet der Originalbeitrag.
Sicherheitsempfehlungen und Trend Micro-Lösungen
Mail-Bedrohungen werden immer raffinierter und schwieriger zu erkennen. Früher reichten schlechte Grammatik und ein übertriebenes Gefühl der Dringlichkeit als Erkennungszeichen für bösartige Mails aus. Heutzutage sind böswillige Akteure in der Lage, die Stimme und den Tonfall der Person zu imitieren, für die sie sich ausgeben, und manchmal sind sie sogar bereit, auf lange Sicht zu agieren.
Um Spam- oder Phishing-Bedrohungen erfolgreich zu bekämpfen, müssen Unternehmen ihren Mitarbeitern die notwendigen Tools, Ressourcen und Schulungen an die Hand geben, damit sie bösartige Mails besser erkennen. Unternehmen können auf Trend Micros Phish Insight zurückgreifen, das effektive und automatisierte Phishing-Simulationen unter realen Bedingungen und maßgeschneiderte Schulungskampagnen bietet.
Die umfassende XDR-Lösung von Trend Micro wendet die effektivsten Expertenanalysen auf die umfangreichen Datensätze an, die von Trend Micro-Lösungen im gesamten Unternehmen gesammelt werden, und stellt so schnellere Querverbindungen zur Erkennung und Abwehr von Angriffen her. Künstliche Intelligenz (KI) und fachkundige Sicherheitsanalysen korrelieren Daten aus Kundenumgebungen und der globalen Bedrohungsdatenbank von Trend Micro, um weniger, aber präzisere Warnungen zu liefern, die zu einer besseren Früherkennung führen. Eine Konsole mit einer einheitlichen Quelle für priorisierte, optimierte Warnmeldungen, die durch geführte Untersuchungen unterstützt werden, vereinfacht die Schritte zum vollständigen Verständnis des Angriffspfads und der Auswirkungen auf das Unternehmen. Die einzelnen Lösungen und Produkte finden Sie hier.
Der Originalbeitrag beinhaltet auch die involvierten IOCs.