Mimecast Logo
Angebot einholen

    Offenes Spoofing

    12. Februar 2025

    Von Mimecast Threat Research Team

    Wichtige Punkte

    Was Sie in dieser Meldung erfahren werden

    • TO3028 ist ein hochentwickelter Bedrohungsakteur, der dafür bekannt ist, Schwachstellen in modernen Sicherheitssystemen auszunutzen, um hochwirksame Kampagnen durchzuführen.
    • Die jüngsten Kampagnen nutzen die Infrastruktur von Internetanbietern mit schwacher Authentifizierung, um vertrauenswürdige Marken zu fälschen und Phishing-E-Mails in großem Umfang zu verbreiten.
    • Das Hauptziel ist das Sammeln von Zugangsdaten, um Überwachung, Betrug und weitere targeted attack gegen die Opfer zu ermöglichen.

    Kampagnenablauf

    Open-Spoofing-flow.jpg

    TO3028 auf einen Blick

    TO3028 ist ein hoch organisierter und ausgeklügelter Bedrohungsakteur, den Mimecast für seine Fähigkeit erkannt hat, fortschrittliche Verbreitungstechniken zu entwickeln und einzusetzen, die Schwachstellen in modernen Sicherheitssystemen ausnutzen. Diese Gruppe arbeitet mit Präzision und Ausdauer und verfügt über ein tiefes Verständnis von E-Mail-Protokollen, Authentifizierungsmechanismen und der Komplexität der Cloud-basierten Sicherheitsinfrastruktur.

    Ihre Kampagnen sind geplant und nutzen systematische Testverfahren und spezielles Fachwissen, um Abwehrmechanismen zu umgehen und ihre Ziele zu erreichen. Die Aktivitäten der Gruppe haben sich im Laufe der Jahre entwickelt und weisen einen Grad an Professionalität auf, der an seriöse Unternehmen erinnert.

    Der TO3028 zeichnet sich durch seinen Einfallsreichtum und seine Anpassungsfähigkeit aus. Möglicherweise beschäftigen sie spezialisierte Teams für die Entwicklung der Infrastruktur, das Testen und die Bereitstellung und zeigen damit eine unübertroffene Fähigkeit, Schwachstellen in E-Mail-Systemen weltweit auszunutzen. Ihre Kampagnen, die sich oft auf das Abgreifen von Anmeldedaten konzentrieren, verwenden eine groß angelegte Verbreitungstaktik, gepaart mit zahlreichen Phishing-Ködern, um Endbenutzer zu täuschen. TO3028 ist strategisch darauf ausgerichtet, sich der Entdeckung zu entziehen und dauerhaften Zugang zu kompromittierten Systemen zu erhalten, und stellt daher weiterhin eine große Herausforderung dar.

    Innovative Nutzung von ISP-E-Mail-Diensten

    Die neuesten Kampagnen von TO3028 drehen sich um den strategischen Missbrauch von ISP-E-Mail-Diensten über kompromittierte Router von Verbrauchern. Der Prozess umfasst:

    1. Kompromittierung von Routern: Die Angreifer zielen auf die Router der ISP-Kunden ab und nutzen bekannte Schwachstellen oder schwache Standardanmeldeinformationen aus. Einrichtung der Kontrolle zur Konfiguration dieser Router als Proxy-Server.
    2. Proxy-Server-Einrichtung: Der kompromittierte Router ist als Proxy-Server konfiguriert und leitet den gesamten Internetverkehr von angeschlossenen Geräten über ihn.
    3. spam Verteilung über ISP-E-Mail-Server: Der kompromittierte Router leitet die E-Mails von spam über die E-Mail-Server des ISP weiter, wobei die IP-Adresse des Routers als Absender verwendet wird.

    Die Nutzung der E-Mail-Dienste von ISPs durch TO3028 bietet mehrere Vorteile für die Verbreitung von spam:

    Maskierte Herkunftsinfrastruktur: Die Proxy-Verbindung verbirgt die Infrastruktur des Angreifers vor den Scan-Diensten von spam. ISPs verwalten ihre kostenlosen E-Mail-Dienste oft passiv, so dass Angreifer die spam -Funktionen beibehalten können, ohne die Infrastruktur häufig wechseln zu müssen.

    Unbegrenztes Sender-Spoofing: Viele Antispam Dienste verlassen sich auf die Reputation des Absenders. Ohne Absenderauthentifizierung können Angreifer die Absenderinformationen variieren, um diese Prüfungen zu umgehen, ohne neue kompromittierte Anmeldedaten zu benötigen.

    Entspanntes Scannen ausgehender E-Mails spam: Die meisten ISP-E-Mail-Dienste verfügen über grundlegende Sicherheitskontrollen und keine robusten Anti-spam -Prüfungen, so dass sich die Angreifer auf die Zustellbarkeit der eingehenden Nachrichten an ihre Ziele konzentrieren.
    Verfügbarkeit: Die häufige Integration neuer ISP-Mail-Dienste in das spam -Ökosystem deutet darauf hin, dass der Angreifer über leicht verfügbare Methoden verfügt, um diese Dienste auszunutzen. Viele ISPs scheinen entweder Zimbra oder Magicmail zu verwenden.

    Hohe Versenderaten: Die fehlende Authentifizierung führt oft zu unkontrollierten E-Mail-Versandraten, die groß angelegte Kampagnen in kurzen Zeiträumen ermöglichen.

    Öffnen-Spoofing-1.png

    Im Rahmen der jüngsten Kampagnen haben wir beobachtet, dass die oben genannte Vorlage von TO3028 verwendet wird, und wir haben Phishing-E-Mails über die Infrastruktur eines großen kanadischen ISP, Distributel (ein Bell-Unternehmen), getestet und verteilt. Sie haben Techniken entwickelt, um große Mengen an E-Mail-Verkehr über die Mail Transfer Agents (MTAs) des ISP weiterzuleiten, ohne Authentifizierungsdaten zu verlangen. Dieser Missbrauch ist nicht auf Distributel-eigene Domains beschränkt, sondern erstreckt sich auch auf das Spoofing bekannter Marken wie BBC und CNN sowie auf Kundendomains. Diese Kampagnen konzentrieren sich in erster Linie auf Phishing-Angriffe mit Zugangsdaten, wobei die gestohlenen Zugangsdaten anschließend für die Überwachung von Zielen und die Durchführung von Betrugsoperationen verwendet werden.

    Diese bewusste Verwendung der BBC-Domain zusammen mit Verweisen auf Docusign soll Glaubwürdigkeit schaffen und Misstrauen ausräumen. Die Phishing-Kampagne nutzt immer bekannte Marken, um den Empfänger dazu zu verleiten, auf einen bösartigen Link mit der Bezeichnung "REVIEW DOCUMENT zu klicken."

    Während die eingebettete URL auf Docusign verweist, gibt es mehrere Umleitungen, die letztendlich zu einem bösartigen Ziel führen, das auf canadacentral-01.azurewebsites[.]net gehostet wird.

    Zu den wichtigsten Beobachtungen gehören:

    1. Legitime Domains für die Weiterleitung:
      • Die Verwendung von federation.nih.gov und www.applyweb.com als Teil der stark verschleierten Umleitungskette erweckt den Anschein von Legitimität.
    2. Endgültiges bösartiges Ziel:
      • Die URL lautet hxxps://filedocx-ejd6bncpcjhtdtgd.canadacentral-01.azurewebsites[.]net, die in der Azure-Infrastruktur von Microsoft gehostet werden.
      • Dieses Ziel ist so konzipiert, dass es ein gefälschtes DocuSign-Portal oder eine Seite zum Sammeln von Anmeldeinformationen präsentiert, auf der die Opfer sensible Anmeldeinformationen eingeben würden.
    3. Verschleierungstechniken:
      • Die Umleitungskette verwendet eine Reihe legitimer Domänen, um die wahre böswillige Absicht des Links zu verbergen. Dies ist eine Technik, die häufig bei der URL-Verschlüsselung eingesetzt wird, und lange Abfragezeichenfolgen machen es für E-Mail-Filter und gelegentliche Benutzer schwierig, die Bedrohung zu erkennen.

    Die Operationen von TO3028 zeigen systemische Schwachstellen in von ISPs verwalteten E-Mail-Systemen auf und verdeutlichen die Risiken einer schwachen Authentifizierung und unzureichenden Überwachung. Ihre Fähigkeit, sich anzupassen und neue Tools und Plattformen zu integrieren, sichert ihren anhaltenden Erfolg und unterstreicht die Notwendigkeit robuster Authentifizierungsrichtlinien, proaktiver Überwachung und verbesserter Sicherheitspraktiken im gesamten E-Mail-Ökosystem. Diese Kampagne verdeutlicht die zunehmende Raffinesse von TO3028 und sein unermüdliches Bestreben, Lücken in der E-Mail-Sicherheit auszunutzen.

    Beobachtete Kampagnenaktivitäten

    Die Aktivitäten im Zusammenhang mit missbrauchten ISP-Infrastrukturen zeigen einen allmählichen Anstieg bis Mitte 2024, gefolgt von einem starken Anstieg im November und einem dramatischen Höhepunkt im Dezember. Dieses Muster deutet auf eine bewusste Strategie der Erprobung und Skalierung hin:

    • Mitte 2024: Wahrscheinlich wird die Methodik getestet, wobei die Aktivitäten in geringem Umfang der Feinabstimmung der Taktiken dienen.
    • November-Dezember 2024: Vollständige Nutzung, zeitgleich mit der Integration neuer ISP-Dienste in ihr spam Ökosystem.

    Öffnen-Spoofing-2.png

    Diese Aktivität unterstreicht die Fähigkeit von TO3028, seine Methoden anzupassen und gleichzeitig seine Aktivitäten systematisch zu skalieren, um die Wirkung zu maximieren.

    Taktik, Techniken und Verfahren

    T1204.001 - Benutzer-Ausführung: Bösartiger Link
    T1566.002 - Phishing: Speer Phishing Link
    T1598.002 - Phishing für Informationen
    T1090 - Proxy: Kompromittierung von Consumer-Routern für E-Mail-Relay
    T1586.001 - Kompromittierung von Konten: E-Mail-Konten
    T1608.003 - Bühnenfähigkeiten: Installation bösartiger Webinhalte
    T1070.004 - Entfernung von Indikatoren auf dem Host: Automatisierte spam Exfiltration

    Mimecast-Schutz

    In den jüngsten Kampagnen haben wir mehrere Attribute identifiziert, die unsere Erkennungsmöglichkeiten erweitern. Wir überwachen weiterhin die Tests und Aktualisierungen von TO3028, um sicherzustellen, dass unsere Kunden geschützt sind.

    Zielsetzung:

    Global, alle Branchen

    Unterschiedliche Kampagnen dieses Bedrohungsakteurs weisen oft keine verwandten Indikatoren für eine Gefährdung (Indicators of Compromise, IOCs) auf, da verschiedene Techniken und Köder eingesetzt werden, die zu unterschiedlichen Angriffsvektoren führen.

    IOCs:

    Absenderadressen

    • donotreply@teksavvy[.]ca
    • payoff@hysharma[.]com
    • donotreply@cogeco[.]ca
    • webmaster@a1[.]net
    • noreply@videotron[.]com
    • donotreply@distributel[.]net
    • webmaster@socket[.]net

    Themen:

    • Finanzberichte für Q: Überblick und Einblicke
    • Hallo, Auszahlungsschreiben Dokument beigefügt**
    • Q3-Bonusbericht - Abschlussprovisionen - September 2024
    • Jetzt anmelden: Anmeldung zu den Leistungen für 2024 jetzt geöffnet

    Empfehlungen

    • Durchsuchen Sie Ihre E-Mail-Empfangsprotokolle, um festzustellen, ob IOCs an Ihre Benutzer zugestellt worden sind.
    • Aufklärung der Endbenutzer über den anhaltenden Trend, dass legitime Tools für bösartige Kampagnen verwendet werden.
    Zurück zum Anfang