Phishing
Vishing via Microsoft Teams
Vishing (Voice Phishing), bezeichnet Phishing per Telefon. Wir haben einen Vorfall untersucht, bei dem ein Angreifer Social Engineering über Microsoft Teams nutzte, um sich als vorgeblicher Kunde eines Users Fernzugriff auf dessen System zu erlangen.
Save to Folio
Kürzlich beobachteten wir einen Sicherheitsvorfall, bei dem ein Benutzer von einem Angreifer ins Visier genommen wurde, indem der Täter sich bei einem Anruf in Microsoft Teams als Mitarbeiter eines bekannten Kunden ausgab. Er wies den Benutzer an, die Remote-Desktop-Anwendung AnyDesk herunterzuladen, die dann die Übertragung der DarkGate-Malware ermöglichte. DarkGate wird über ein AutoIt-Skript verbreitet und ermöglicht die Fernsteuerung des Computers des Opfers, die Ausführung bösartiger Befehle, die Erfassung von Systeminformationen und die Verbindung zu einem Command-and-Control-Server.
Ausführung
In diesem Fall setzte der Angreifer Social Engineering ein, um das Opfer zu manipulieren und sich so Zugang und Kontrolle über ein Computersystem zu verschaffen. Das Opfer berichtete, dass es zunächst mehrere Tausend Mails erhielt und anschließend über Microsoft Teams einen Anruf von einer Person, die behauptete, ein Mitarbeiter eines externen Lieferanten zu sein. Während des Anrufs wurde das Opfer angewiesen, die Microsoft Remote Support-Anwendung herunterzuladen, die Installation über den Microsoft Store schlug jedoch fehl. Der Angreifer forderte das Opfer dann auf, AnyDesk über den Browser herunterzuladen und seine Anmeldedaten für AnyDesk einzugeben. Die Vortäuschung einer IT-Support-Person gegenüber potenziellen Opfern nach einer E-Mail-Flut ist eine Technik, die bereits in einem Microsoft-Blogeintrag dargestellt wurde.
Nach Eingabe eines Befehls wird die Anwendung AnyDesk Remote Desktop ausgeführt und startet als lokaler Dienst auf dem System mit erhöhten Privilegien oder in einer minimierten/automatisierten Variante. Die technischen Einzelheiten liefert der Originalbeitrag.
Mithilfe mehrerer Erkundungsbefehle konnte der Angreifer Informationen über die Domäne des Systems abrufen und speichern. Auch suchte der Täter nach mehreren bekannten Antivirusprogrammen, und es wurden mehrfach beliebig benannte Dateien an verschiedenen Orten erstellt, um der Entdeckung zu entgehen. Bei dem Angriff wurde schließlich auch ein PowerShell-Befehl ausgeführt, der die DarkGate Payload ablegte. Alle Einzelheiten enthält der Originalbeitrag.
Fazit und Sicherheitsempfehlungen
In diesem von uns untersuchten Fall wurde der Angriff verhindert, bevor der Angreifer sein Ziel erreichte. Wir fanden keine Aktivitäten im Zusammenhang mit einem Datenabfluss. DarkGate wird hauptsächlich über Phishing-E-Mails, Malvertising und SEO-Poisoning verbreitet. In diesem Fall nutzte der Angreifer jedoch Voice Phishing (Vishing), um das Opfer anzulocken. Die Vishing-Technik wurde auch von Microsoft dokumentiert, in einem Fall, in dem der Angreifer QuickAssist nutzte, um Zugriff auf sein Ziel zu erhalten und Ransomware zu verbreiten.
Um sich vor Angriffen wie diesem zu schützen, können Organisationen die folgenden Best Practices anwenden:
- Prüfen Sie technische Support-Mitarbeiter von Drittanbietern gründlich. Obwohl es legitime technische Support-Dienste von Drittanbietern gibt, sollten Organisationen sicherstellen, dass jegliche Behauptungen über eine Zugehörigkeit zu einem Anbieter direkt überprüft werden, bevor sie Fernzugriff auf Unternehmenssysteme gewähren. Es sollten Cloud-Prüfverfahren vorhanden sein, um Remote Access Tools wie AnyDesk zu bewerten und zu genehmigen, indem ihre Sicherheitskonformität und der Ruf ihrer Anbieter bewertet werden.
- Erstellen Sie eine Whitelist mit genehmigten RATs und blockieren Sie alle nicht verifizierten Anwendungen. Organisationen sollten eine Multifaktor-Authentifizierung (MFA) in RATs integrieren, um eine zusätzliche Schutzebene zu schaffen.
- Bieten Sie Mitarbeiterschulungen an, um das Bewusstsein für Social-Engineering-Taktiken, Phishing-Versuche und die Gefahren unerwünschter Support-Anrufe oder Pop-ups zu schärfen. Gut informierte Mitarbeiter sind weniger anfällig für Social-Engineering-Angriffe.
Um die sich stetig ändernde Bedrohungslandschaft wirksam zu bekämpfen, müssen Unternehmen einen mehrschichtigen Sicherheitsansatz wählen. Lösungen wie Trend Micro Apex One™ mit XDR bieten eine vollständige Security-as-a-Service-Lösung (SaaS) und ermöglichen den vollständigen Zugriff auf die XDR-Funktionen in Trend Vision One™, um Cyberangriffe zu erkennen, darauf zu reagieren und die Prävention zu verbessern. Darüber hinaus spielt Trend Micro™ Managed XDR, das in Trend Service One™ enthalten ist, eine entscheidende Rolle, indem es rund um die Uhr Überwachung, Abwehr und Erkennung bietet, um einen kontinuierlichen Schutz vor neu auftretenden Bedrohungen zu gewährleisten.
Weitere Informationen zu Verteidigungsmöglichkeiten mit Hilfe von Trend Micro-Lösungen finden Sie im Originalbeitrag.