Mimecast Logo
M365 Threat Scan Get a Quote

    KI-Tools als Infrastruktur für Kampagnen

    Aug. 2, 2024

    Wichtige Punkte

    Was Sie in dieser Meldung erfahren werden

    • 380.000 Phishing-E-Mails wurden von Mitte bis Ende März 2023 beobachtet, die sich als interne HR-Teams ausgaben.
    • Die E-Mails forderten zu Maßnahmen im Zusammenhang mit Schulungen und der Einhaltung von Vorschriften auf und enthielten Links zu einer Phishing-Seite mit Anmeldeinformationen.
    • Jede E-Mail enthielt eine HTML-Datei, war aber ein PDF mit einem bösartigen Link.
    • Für die Kampagne wurden mehrere Webdienste missbraucht, darunter Replit für die Weiterleitung und IPFS für die Phishing-Seite mit den Anmeldedaten.

    Mimecast Threat Research hat beobachtet, dass Bedrohungsakteure bösartige PDF-Dateien verbreiten, die als HTML-E-Mail-Anhänge getarnt sind. Es wurden mehrere Kampagnen beobachtet, die denselben PDF-Anhang verwendeten, der als HTML-Datei mit dem Namen "Contract_document.html" getarnt war. 18. und 27. März 2024.

    Die Anhänge haben eine .html Anhang, haben aber einen PDF-MIME-Typ, der beim Öffnen in einem modernen Webbrowser immer noch als PDF wiedergegeben wird. Die beobachteten Anhänge wurden über mehrere Malspam-Kampagnen mit ähnlichen Themen versandt, die auf zahlreiche Organisationen abzielten und bösartige URLs enthielten. Das beobachtete Gesamtvolumen erreichte knapp 380.000 E-Mails zwischen dem 18., 20. und 27. März.

    Bei jeder Kampagne wurde in der Regel versucht, sich als interne HR-Teams auszugeben, um aktuelle Informationen über Leistungsbeurteilungen, Jahresurlaubsregelungen oder obligatorische Schulungen zu verteilen. In einigen Fällen mit Dringlichkeitserklärungen oder kostenpflichtigen Auslandsreisen. Es wurde ein ähnliches Thema beobachtet, da jedes spezifische Elemente in Bezug auf die Zielpersonen enthielt, einschließlich des Namens der Organisation und der E-Mail-Adresse des Empfängers.

    Das erste Beispiel nutzt die Verlockung von Mitarbeiterbeurteilungen und ermutigt die Empfänger, durch Anklicken zu sehen, wer eine Auszeichnung erhalten hat.

    TI_Online-AI-Tools-pic1.png

     
    Im zweiten Beispiel wurde eine Jahresurlaubsregelung thematisiert und dem Empfänger mit finanziellen Sanktionen gedroht, wenn er der Aufforderung nicht nachkommt.

    TI_Online-AI-Tools-pic2.png

     
    Das dritte Beispiel thematisiert die Fortbildung von Mitarbeitern mit dem zusätzlichen Anreiz einer kostenpflichtigen Auslandsreise.

    TI_Online-AI-Tools-pic3.png

     
    Diese Kampagnen folgten alle ähnlichen Themen, die bei den meisten gezielten Phishing-Kampagnen der Branche üblich sind. Eine Kombination aus Angst und Neugierde soll die Empfänger zum Anklicken der Links bewegen. Bei jeder Kampagne wurde ein falscher Link angezeigt, der vorgab, zu einem internen Ziel zu führen. Wenn wir jedoch den Mauszeiger über den Link in Beispiel 3 bewegen, können wir sehen, dass die tatsächliche URL zu einer "replit.app" weiterleitet Gastgeber.

    Replit ist ein weiteres Tool, das von Bedrohungsakteuren missbraucht wird, um Ressourcen zu inszenieren und Opfer umzuleiten. Das folgende Diagramm zeigt die Anzahl der entdeckten bösartigen E-Mails, die eine Replit-URL wie die oben gezeigten Beispiele enthalten.

    TI_Online-AI-Tools-pic4.png

     
    Angriffsmuster

    Zusammenfassung der vom Bedrohungsakteur für diesen Angriff verwendeten Methoden:

    E-Mail-Dienstanbieter
    • Mailgun wurde verwendet, um die Massen-E-Mails für diese Kampagne zu verteilen. Das Konto schien einem rechtmäßigen Unternehmen zu gehören, was bedeutet, dass der Täter es wahrscheinlich für seine eigenen Zwecke missbraucht hat.
    Phishing-Links
    • Phishing-Link - Replit wurde verwendet, um eine Umleitung zu inszenieren, die Klicker zu einer bösartigen Datei weiterleitet, die in IPFS gehostet wird.
    • Phishing-Anhang - Der Bedrohungsakteur fügte den E-Mails eine Datei bei, die auch einen bösartigen Link zu einer Replit-Website enthielt.
    E-Mail-Anhang
    • Der in den E-Mails enthaltene Anhang war ein PDF-Dateityp, hatte aber eine .html Erweiterung. Die Datei wird standardmäßig in einem Webbrowser geöffnet, wobei die meisten modernen Browser wie Chrome die Datei weiterhin als PDF-Datei darstellen.
    Missbrauch von Webdiensten
    • Wahrscheinlich wurde eine kostenlose Testversion von Replit verwendet, um die Umleitungsseite zu erstellen und zu hosten.
    • IPFS wurde verwendet, um eine Phishing-Datei mit Anmeldeinformationen zu hosten, auf die von der Replit-Website umgeleitet wurde.
    Sozialtechnik
    • In den beobachteten E-Mails wurde ein einheitliches Muster verwendet, um die Empfänger zum Anklicken bösartiger Links zu verleiten.
    • Interne HR-Teams wurden mit Zuckerbrot und Peitsche als Aufforderung zum Handeln dargestellt.
    Informationsdiebstahl
    • IPFS, das zum Bereitstellen der bösartigen Datei verwendet wird, die die Webseite anzeigt, die zum Abfangen der Anmeldeinformationen verwendet wird.
       ​

    Ziele

    Global, alle Branchen

     

    IOCs

    Senden von Quellen
    • Pc232-12.mailgun.net [143.55.232.12]
    Anlage(n)
    • Vertrag_Dokument.html
    • Der Autorenabschnitt der PDF-Datei enthielt die allgemeine Zeichenfolge "Son of God".
    • Hexdump der Datei
    URLs
    • E-Mail-Körper
      • hxxps://owa-5ghdhjd897d67hgdbndbnm-bn8272vbnsjbskjs-892672vhbxbhtys5665.replit[.]app/#recipient_email@domain.com
    • Anlage
      • hxxps://afcc3a49-0553-4865-a79d-1ee5dfa1465f-00-1jjmbzmgsvm64.picard.replit[.]dev/#recipient_email@domain.com
    • Phishing-Seite
      • hxxps://cloudflare-ipfs[.]com/ipfs/bafybeihuqzllo4qdhw7gluyr7fdgwtijfb7jkpzxdlcon6neqmgw2grkfy/owa-index-server.html#recipient_email@domain.com
    • Interplanetarisches Dateisystem (IPFS)
      • Die effektive URL nach der Replit-Umleitung führte zu einer in IPFS gespeicherten Datei, auf die über das IPFS-Gateway von Cloudflare zugegriffen wurde: hxxps://cloudflare-ipfs[.]com/ipfsbafybeihuqzllo4qdhw7gluyr7fdgwtijfb7jkpzxdlcon6neqmgw2grkfy
      • Cloudflare IPFS ist nur eines der Gateways, die für den Zugriff auf die Datei zur Verfügung stehen, und die Zeichenfolge am Ende des IPFS-Pfads stellt die Inhalts-ID (CID) für die Datei dar. IPFS ermöglicht den Zugang über jedes verfügbare Gateway, wenn Sie die CID haben.
      • hxxps://storry[.]tv/ipfs/bafybeihuqzllo4qdhw7gluyr7fdgwtijfb7jkpzxdlcon6neqmgw2grkfy
      • hxxps://nftstorage[.]link/ipfs/bafybeihuqzllo4qdhw7gluyr7fdgwtijfb7jkpzxdlcon6neqmgw2grkfy
      • hxxps://hardbin[.]com/ipfs/bafybeihuqzllo4qdhw7gluyr7fdgwtijfb7jkpzxdlcon6neqmgw2grkfy
      • Jede dieser URLs greift nach wie vor auf dieselbe in IPFS gespeicherte Datei zu. Das bedeutet, dass ein Bedrohungsakteur die Gateways durchlaufen kann, um eine andere URL zu erstellen, die blockiert wird.
    • Der Autorenabschnitt der PDF-Datei enthielt die allgemeine Zeichenfolge "Son of God".
    • Hexdump der Datei
       ​

    TTPs

    T1608.005 - Bühnenfähigkeiten: Link Ziel
    T1586.002 - Kompromittierte Konten: E-Mail-Konten
    T1566.002 - Phishing: Spearphishing-Link
    T1566.001 - Phishing: Spearphishing-Anhang
    T1036.008 - Maskerade: Maskerade Dateityp

    Artikel zu Bedrohungsdaten erkunden

    05BLOG_1.jpg
    Bedrohungsanalyse Blog
    Neue Mimecast-Bedrohungsdaten: Wie ChatGPT E-Mail umkrempelt
    Okt. 18, 2024
    50BLOG_1.jpg
    Bedrohungsanalyse Blog
    Threat Intelligence war noch nie so wichtig wie heute
    Okt. 18, 2024
    10BLOG_1.jpg
    Bedrohungsanalyse Blog
    Angreifer verlagern ihre Verbreitungsmethoden weiter
    Juni 03, 2024
    Zurück zum Anfang