Microsoft SharePoint/Google Drive-Ordner als Umgehungstechnik

Aug. 2, 2024

Mimecast Threat Research hat beobachtet, dass Bedrohungsakteure SharePoint und Google Drive nutzen, um Dateien mit Links zu bösartigen Websites auszutauschen. Bei dem Köder handelt es sich in erster Linie um eine Angebotsaufforderung mit dem Ziel, über ein gehostetes Phish-Kit Anmeldedaten zu erhalten.

Ein Beispiel für diese Kampagne ist unten zu sehen, bei der ein kompromittiertes O365-Konto verwendet wird. In den meisten Fällen werden Domains aus bestimmten Branchen verwendet, die mit dem Ziel in Verbindung stehen, was die Wahrscheinlichkeit erhöht, dass der Endbenutzer mit der E-Mail interagiert.

 
Die E-Mail enthält einen Link "Klicken Sie hier, um das Projekt anzusehen", über den Sie weitere Informationen über das Angebot erhalten. Wenn der Benutzer auf den Link klickt, wird er zu einer SharePoint-Ordnerseite weitergeleitet, die eine Datei enthält, was ungewöhnlich ist, da normalerweise die "Dateien" selbst dies einzigartig machen.

Der Grund für die zusätzliche Ebene der Verschleierung ist die Umgehung von Sicherheitslösungen. Darüber hinaus kann der Köder als legitimer angesehen werden, wenn sich mehrere Dateien in dem Ordner befinden, oder er hilft dem Bedrohungsakteur bei der Verwaltung von Kampagnen, bei denen er Ordner verwenden kann, ohne eine direkte Datei zu teilen.

 
In diesem Kampagnenbeispiel wurde auf der SharePoint-Seite ein Ordner eingerichtet, der mit einem echten Unternehmen verbunden ist, wobei der angebliche Eigentümer der Datei mit derselben Organisation verbunden ist. Innerhalb des Ordners muss ein Benutzer mit der Seite interagieren, um auf die Datei zuzugreifen.

Beim Anklicken der Datei erscheint eine unscharfe PDF-Datei, die den Benutzer auffordert, sich über einen Link bei seinem Microsoft-Konto anzumelden, um Zugriff auf die Datei zu erhalten.

 
Die Phishing-Seiten haben eine ähnliche URL-Struktur hxxps://[NAME].[store/online/site]/?[8 Zeichen], die auch bei Phishing-Seiten beobachtet wurde, die auf "NakedPages" gekauft wurden. Bei einigen Kampagnen werden zusätzlich Captcha-Seiten eingefügt, um die Anzahl der Benutzerinteraktionen zu erhöhen, die erforderlich sind, um die endgültige Phishing-Seite zu erreichen - manchmal bis zu 7. Dies ist eine sehr verbreitete Technik, mit der Bedrohungsakteure die Entdeckung umgehen.

 
Diese Art von Technik ist nicht nur auf Microsoft-Dienste beschränkt. Hier ist ein Beispiel für eine Methode, die Google Drive verwendet, mit einem sehr ähnlichen Layout und einer Seite zum Sammeln von Anmeldeinformationen:

  
Bei der Untersuchung des Google Drive-Beispiels wurde eine Fehlerseite angezeigt, die etwas mehr Details über die Kampagne liefert, bei der ein Lizenzierungsfehler beobachtet wird, der vermutlich von "NakedPages" stammt.

  
Weitere Informationen auf der Seite beziehen sich auf nkp.relay-proxy-i2p.com. I2P ist eine auf den Datenschutz ausgerichtete Netzwerkschicht für anonyme Kommunikation. Es deutet darauf hin, dass die Phishing-Seite versucht hat, eine Verbindung zu einem I2P-Relay oder Proxy herzustellen, wahrscheinlich um Daten zu exfiltrieren oder anonym zu kommunizieren.

Weitere Untersuchungen ergaben, dass nkp.relay-proxy-i2p.com erst seit kurzem aktiv ist und auf FlokiNET umgestellt wurde. FlokiNET ist ein Webhosting-Anbieter, der dafür bekannt ist, dass er Dienste anbietet, bei denen der Schutz der Privatsphäre und die Meinungsfreiheit im Vordergrund stehen und die häufig von Aktivisten und Journalisten genutzt werden. Mimecast hat in jüngster Zeit eine Verschiebung beim Hosting beobachtet, die darauf hindeutet, dass Bedrohungsakteure ihre Infrastruktur häufiger wechseln, um eine Entdeckung und Bekämpfung zu vermeiden.

Die Nameserver für nkp.relay-proxy-i2p.com sind Njalla, was einen weiteren interessanten Punkt darstellt. Njalla ist ein Domänenregistrierungsdienst, der auf Datenschutz und Anonymität setzt und die Identität der Domäneninhaber schützt. Dabei fungiert es als Vermittler zwischen der Registrierungsstelle und dem Domänenbesitzer, der die Domäne in Ihrem Namen registriert, wobei persönliche Informationen verborgen bleiben.

Ziele

Global, alle Branchen

IOCs

Websites zum Sammeln von Anmeldeinformationen

• hxxps://esthereiahdhd.store/?ubzveppo
• hxxps://noticebidproject.online/?xptjjunz
• hxxps://ncosulteng.store/?lzbcqrww
• hxxps://elbenchaesn.store/?oyhbewrx

Betreffzeilen (es gibt mehrere Varianten)

• AUFFORDERUNG ZUM GEBOT: Northwest Line Builders LLC . .-- Projekt Nr.21-1161L 1912
• AUSSCHREIBUNG: CONSTRUCTION TESTING SERVICES, LLC . .-- Projekt Nr. 21-1161L 1912
• Aufforderung zur Angebotsabgabe: Projekt Nr. 21-1161L: Infrastruktur Wasserwerk Gaslösungen
• AUFFORDERUNG ZUM GEBOT: Balcones Resources Inc . .-- Projekt Nr.21-1161L 1912