Mehrstufige Angriffe
Business Email Compromise erreicht neue Dimension
Foto: one photo - shutterstock.com
IT-Sicherheitsforscher haben eine neue Cyberangriffskampagne entdeckt, wobei die Kriminellen die Beziehungen zwischen den Organisationen ausnutzten, um in die Systeme einzudringen. Der Angriff, den Microsoft-Forscher als mehrstufiges Adversary-in-the-Middle-Phishing (AiTM) bezeichnen, begann mit der Kompromittierung eines vertrauenswürdigen Anbieters und zielte auf Unternehmen aus dem Banken- und Finanzdienstleistungssektor ab.
"Dieser Angriff zeigt die Komplexität von AitM- und BEC-Bedrohungen (Business Email Compromise), die vertrauenswürdige Beziehungen zwischen Anbietern, Lieferanten und anderen Partnerorganisationen für Finanzbetrug missbrauchen", betonen die Microsoft-Forscher.
Phishing mit indirekten Proxys
AitM-Phishing ist eine inzwischen weit verbreitete Technik zur Umgehung von Multifaktor-Authentifizierungsmechanismen. Die Angreifer zielen dabei auf einmalige Codes, die Benutzer während der Anmeldesitzungen manuell eingeben, unabhängig davon, wie sie empfangen werden: per E-Mail, SMS oder durch eine Smartphone-App. Die gängigste Methode zur Durchführung von AitM ist die Verwendung eines Reverse-Proxys, bei dem das Opfer eine Verbindung zu einer vom Angreifer kontrollierten Domain und Website herstellt. Dabei werden alle Inhalte und nachfolgenden Anfragen von der echten Anmeldeseite des angegriffenen Dienstes weitergeleitet.
Für diese Phishing-Implementierung gibt es inzwischen sogar Open-Source-Toolkits. Bei dieser Angriffstechnik übernehmen die Täter eine passive Überwachungsrolle des Datenverkehrs zwischen dem Opfer und dem Dienst, bei dem sie sich authentifizieren. Ziel ist es, das Session Cookie abzufangen, das vom Dienst nach Abschluss der Authentifizierung zurückgesendet wird. Die Angreifer nutzen es anschließend, um direkt auf das Konto des Opfers zuzugreifen.
Diese Methode hat jedoch auch Nachteile für die Angreifer. Wenn zusätzliche Richtlinien vorhanden sind, die andere Aspekte des Opferrechners erfassen und überprüfen, könnte eine nachfolgende Anmeldung durch einen Angreifer einen Security Alert auslösen und die Sitzung als verdächtig kennzeichnen.
Angreifer haben vollständige Kontrolle
Bei dem neuen, von Microsoft beobachteten Angriff verwendeten die Kriminellen, die unter dem vorläufigen Namen Storm-1167 verfolgt werden, ein von ihnen selbst entwickeltes Phishing-Toolkit, das eine indirekte Proxy-Methode verwendet. Das bedeutet, dass die Phishing-Seite keine Inhalte der echten Anmeldeseite bereitstellt, sondern diese als eigenständige Seite imitiert und vollständig unter der Kontrolle der Angreifer steht.
Wenn das Opfer mit der Phishing-Seite interagiert, initiieren die Angreifer eine Anmeldesitzung mit der echten Website und verwenden die vom Nutzer bereitgestellten Login-Daten. Anschließend fragen die Täter den MFA-Code des Opfers mit einer gefälschten Eingabeaufforderung ab. Wird der Code übermittelt, verwenden die Angreifer ihn für ihre eigene Anmeldesitzung und erhalten direkt das Session Cookie. Das Opfer wird dann auf eine gefälschte Seite umgeleitet. Dies entspricht eher den traditionellen Phishing-Angriffen.
"Da sie die Phishing-Website selbst einrichten haben die Angreifer, bei diesem AitM-Angriff mit indirekter Proxy-Methodemehr Kontrolle, um den angezeigten Inhalt je nach Szenario zu ändern", so die Microsoft-Forscher. "Da die Phishing-Infrastruktur von den Angreifern kontrolliert wird, haben sie außerdem die Flexibilität, mehrere Server zu erstellen, um Entdeckungen zu entgehen. Im Gegensatz zu typischen AitM-Angriffen werden keine HTTP-Pakete zwischen dem Ziel und der eigentlichen Website vermittelt."
Einrichten eines dauerhaften E-Mail-Zugangs und Starten von BEC-Angriffen
Sobald sie mit dem Konto des Opfers verbunden waren, wurden die Angreifer dabei beobachtet, wie sie einen neuen Zugangscode generierten. Dadurch erhielten sie eine längere Zugriffszeit und konnten anschließend eine neue MFA-Authentifizierungsmethode zu dem Konto hinzufügen - eine, die einen SMS-Dienst mit einer iranischen Nummer verwendet. Im Nachgang erstellten sie eine Regel zur Filterung des E-Mail-Posteingangs, mit der alle eingehenden E-Mails in den Archivordner verschoben und als gelesen markiert wurden.
Der Angriff begann mit einer Phishing-Kampagne gegen den Mitarbeiter eines Unternehmens, das als vertrauenswürdiger Lieferant für mehrere Organisationen fungierte. Die Angreifer verwendeten eine URL, die auf Canva.com verwies, eine kostenlose Online-Grafikdesign-Plattform zur Erstellung visueller Präsentationen, Poster und anderer Grafiken. Die URL zeigte auf eine von den Angreifern auf Canva erstellte Seite, die eine OneDrive-Dokumentenvorschau nachahmte. Wird dieses Bild angeklickt, gelangen die Benutzer auf eine gefälschte Microsoft-Anmeldeseite, um sich zu authentifizieren.
Nachdem die Angreifer ein E-Mail-Konto des Anbieters kompromittiert hatten, extrahierten sie E-Mail-Adressen aus bestehenden E-Mail-Threads und verschickten rund 16.000 E-Mails mit ähnlich bösartigen Canva-URLs. "Der Angreifer durchsuchte dann das Postfach des Opfers auf nicht zugestellte und nicht im Büro befindliche E-Mails und löschte sie aus dem Archivordner", so die Microsoft-Analysten. "Der Angreifer las die E-Mails von Empfängern, die Fragen zur Echtheit der Phishing-E-Mail stellten. Daraufhin antwortete er, möglicherweise um die Echtheit der E-Mail fälschlicherweise zu bestätigen. Die E-Mails und Antworten wurden dann aus dem Postfach gelöscht."
Die Empfänger der Phishing-E-Mails des Anbieters wurden auf ähnliche Weise auf eine AitM-Phishing-Seite geleitet, und die Angriffskette setzte sich fort. Die E-Mail eines Opfers der zweiten Phishing-Kampagne einer anderen Organisation wurde kompromittiert und dazu verwendet, weitere Phishing-E-Mails an Partnerorganisationen zu senden. Die Konten der nachfolgenden Opfer wurden auf ähnliche Weise missbraucht.
BEC-Angriffe um 17 Prozent gestiegen
Wie bei Angriffen auf die Software-Lieferkette kann diese Art von mehrstufigen AitM-Phishing- und BEC-Kombinationen ein exponentielles Wachstum erfahren und weit in die Vertrauenskette hineinreichen. Einem neuen Bericht des Internet Crime Complaint Center (IC3) des FBI zufolge sind die Verluste durch BEC-Betrug zwischen Dezember 2021 und Dezember 2022 um 17 Prozent gestiegen.
Lesetipp: CEO-Fraud steigt sprunghaft an
Das Ziel von BEC-Angriffen besteht häufig darin, Empfänger dazu zu verleiten, betrügerische Überweisungen zu veranlassen, private persönliche und finanzielle Informationen weiterzugeben oder Kryptowährungen zu transferieren. Das IC3 hat in den vergangenen zehn Jahren international 277.918 BEC-Vorfälle mit einem finanziellen Schaden von mehr als 50 Milliarden Dollar registriert.
"Dieser AitM-Angriff mit indirektem Proxy ist ein Beispiel für die immer komplexeren und sich weiterentwickelnden TTPs der Bedrohung, die konventionelle Lösungen und Best Practices umgehen und sogar herausfordern", so Microsoft. "Die proaktive Suche nach und die schnelle Reaktion auf Bedrohungen wird daher zu einem noch wichtigeren Aspekt bei der Absicherung von Unternehmensnetzwerken, da sie eine zusätzliche Ebene zu anderen Sicherheitsmaßnahmen darstellt und dazu beitragen kann, Bereiche der Abwehr zu umgehen."
Einige Abhilfemaßnahmen umfassen die Verwendung von MFA-Methoden, die nicht mit AitM-Techniken abgefangen werden können, wie zum Beispiel die Verwendung von FIDO-2-Schlüsseln und zertifikatsbasierter Authentifizierung. Unternehmen können auch Richtlinien für den bedingten Zugriff implementieren, die Anmeldeanfragen anhand zusätzlicher Benutzer- oder Geräteidentitätssignale wie IP-Standort oder Gerätestatus bewerten. Microsoft empfiehlt außerdem die Implementierung einer kontinuierlichen Zugriffsbewertung. (jm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.
Lesetipp: So finden Sie die passende MFA-Lösung