Verpasste Lieferung

12. Februar 2025

Von Samantha Clarke, Ankit Gupta, Hiwot Mendahun und dem Mimecast Threat Research Team

Kampagnenablauf

Die Bedrohungsforscher von Mimecast haben eine Phishing-Kampagne beobachtet, die mit einer verpassten Paketzustellung lockt, um Benutzer dazu zu bringen, auf bösartige Links zu klicken und Finanzdaten zu stehlen. Die Kampagne wird über Biglobe verbreitet, ein japanisches Telekommunikationsunternehmen, das häufig von Bedrohungsakteuren ausgenutzt wird. Die Angreifer nutzen Untergrundmarktplätze wie fishersender[.]com, um kompromittierte Konten zu kaufen, die ihnen legitimen Zugang zur Infrastruktur von Biglobe gewähren. Dieser Zugang ermöglicht es ihnen, bösartige E-Mails zu versenden, die die meisten E-Mail-Authentifizierungsprotokolle umgehen.

Die in dieser Kampagne gefundenen Links verweisen auf legitime Amazon Simple Storage Service (S3) URLs. Amazon S3 ist eine Cloud-Speicherlösung, die die Speicherung, Verwaltung und den Abruf von Objekten wie HTML-Dateien unterstützt. Er wird häufig zum Hosten statischer Websites verwendet und bietet öffentlichen Speicherplatz. Bedrohungsakteure missbrauchen S3-Buckets, um bösartige Dateien oder Seiten zu hosten, und nutzen den Ruf des Dienstes als vertrauenswürdig aus, um die Sicherheitsüberprüfung zu umgehen.
 
Bei dieser Kampagne wurden die S3-Buckets verwendet, um eine HTML-Datei zu speichern, die als Umleitung zu einer anderen bösartigen URL dient, wenn ein Benutzer darauf zugreift.

Die Datei richtet eine leere Webseite ein (<body style="display: none"> ), die vor dem Benutzer versteckt wird, um Verdacht zu vermeiden, und die nicht über Suchmaschinen sichtbar ist
 
Das JavaScript konstruiert dynamisch eine bösartige URL, indem es Variablen aneinander reiht, z. B. la = "emaili", muie = " ng .targ" usw. Indem das Skript die bösartige URL in einzelne Teile zerlegt und diese miteinander verknüpft, versucht es, einfache Erkennungsmechanismen oder einfache Schlüsselwortabgleiche zu umgehen.

Nach der Weiterleitung wird dem Benutzer eine sehr gut strukturierte Phishing-Seite präsentiert, auf der lediglich die Postleitzahl des Benutzers abgefragt wird. Sobald der Nutzer die Informationen eingegeben hat, wird er auf eine andere Seite weitergeleitet, auf der er um finanzielle Angaben gebeten wird, um die Lieferung abzuschließen, die dann gestohlen werden.
 
Die Kampagnenaktivität zeigt deutliche Spitzen bei den böswilligen Treffern, insbesondere Ende August und Anfang September, wobei die sporadische Aktivität bis in den Oktober hinein anhält.

Taktische Techniken und Verfahren:

T1598.002 - Phishing für Informationen
T1583.001 - Erwerben von Infrastruktur: Domains
T1584.004 - Kompromittierung der Infrastruktur: Vertrauenswürdige Beziehung
T1204.001 - Benutzer-Ausführung: Bösartiger Link
T1586.002 - Kompromittierung von Konten: E-Mail-Konten
T1041 - Exfiltration über C2-Kanal

Mimecast-Schutz  

Wir haben in den Kampagnen mehrere Attribute identifiziert, die zu unseren Erkennungsfähigkeiten hinzugefügt wurden. 

Zielsetzung:  

Vereinigtes Königreich, vorwiegend gemeinnütziger Sektor und Wohnungsbau  

IOCs:

URL's

hxxps://s3.amazonaws[.]com/a1zx6ttriopl/parcel.html hxxps://s3.amazonaws[.]com/hfdfbdf8/2/envi7.htm hxxps://s3.amazonaws[.]com/effdafab/9/reschedule4.htm hxxps://s3.amazonaws[.]com/a16130f3d/3/schedule0.htm hxxps://s3.amazonaws[.]com/oginokazunori/input.html hxxps://s3.amazonaws[.]com/e959ec93/4/envi4.htm hxxps://s3.amazonaws[.]com/isoebstao/hermes.html hxxps://s3.amazonaws[.]com/ceciliacha/courier.html

Empfehlungen  

• Vergewissern Sie sich, dass eine URL Protect Richtlinie zum Schutz des Unternehmens festgelegt wurde. 
• Durchsuchen Sie Ihre URL Protect Protokolle, um festzustellen, ob einer der missbrauchten Dienste von Ihren Benutzern genutzt wurde.
• Aufklärung der Endbenutzer über den anhaltenden Trend, dass legitime Tools für bösartige Kampagnen verwendet werden.