Raffinierte Phishing-Kampagne zielt auf deutsche Firmen
Ein Bedrohungsakteur, der als TA547 bekannt ist, hat eine umfangreiche Phishing-Kampagne gestartet, bei der er gezielt Dutzende von deutschen Organisationen angegriffen hat. Diese Angriffe sind darauf ausgerichtet, mittels der Stealer-Software „Rhadamanthys“ sensible Informationen abzugreifen, mit denen sich in Folgeangriffen erheblicher Schaden anrichten lassen könnte.
Die Stealer-Software Rhadamanthys ist in Cyberkriminellen-Kreisen durchaus beliebt – allerdings ist es nach Beobachtungen von Proofpoint-Analysten das erste Mal, dass sie in einer Kampagne von TA547 zum Einsatz kommt. Außerdem scheint der Akteur ein PowerShell-Skript zu verwenden, von dem die Forscher vermuten, dass es von einem großen Sprachmodell (LLM) generiert wurde.
TA547 ist ein aktiver und produktiver Bedrohungsakteur mit finanziellen Motiven, der seit mindestens November 2017 bekannt ist. Er nutzt E-Mail-Phishing als Köder, um eine Vielzahl von Malware wie ZLoader, Gootkit, DanaBot, Ursnif und sogar die Adhubllka-Ransomware auf Android- und Windows-Plattformen zu verbreiten. In den letzten Jahren hat sich diese Gruppe zu einem Initial-Access-Broker (IAB) für Ransomware-Angriffe entwickelt. Mit Geofencing-Tricks steuert sie die Verbreitung ihrer Payloads gezielt auf bestimmte Regionen.
Eine zentrale Rolle bei der aktuellen Kampagne spielen nach Proofpoint-Erkenntnissen E-Mail-Nachrichten, die vorgeben, vom deutschen Großhandelskonzern Metro AG zu stammen. Diese E-Mails enthalten eine passwortgeschützte ZIP-Datei, die ein weiteres ZIP-Archiv enthält. Sobald dieses geöffnet wird, führt es ein Remote-PowerShell-Skript aus, um den Rhadamanthys-Stealer im Speicher zu starten.
Das interessante an dem PowerShell-Skript, das für Rhadamanthys verwendet wird, seien die „grammatikalisch korrekten und hyperspezifischen Kommentare„, die in jedem Befehl des Programms enthalten sind. Dies lasse vermuten, dass das Skript möglicherweise mithilfe von Large-Language-Model-(LLM)-Technologie generiert oder bearbeitet wurde. Eine andere Möglichkeit ist, dass TA547 das Skript von einer Quelle kopiert hat, die auf generativer künstlicher Intelligenz (genAI) basiert.
„Diese Kampagne ist ein Beispiel für einige technische Veränderungen von TA547, wie die Verwendung von komprimierten LNK-Dateien und bisher unbekannten Rhadamanthys-Stealern“, kommentierte Proofpoint. „Sie gibt auch Aufschluss darüber, wie Bedrohungsakteure LLM-generierte Inhalte in Malware-Kampagnen nutzen“ (vgl. dazu auch den <kes>-Beitrag „Super-Malware oder überschätztes Risiko“).
Phishing-Kampagnen verwenden offenbar jetzt immer häufiger ungewöhnliche Taktiken, um Zugangsdaten abzugreifen: In entsprechenden E-Mails werden Empfänger beispielsweise über eine Sprachnachricht informiert und aufgefordert, auf einen Link zu klicken, um die Nachricht anzuhören. Der Inhalt, der von der URL abgerufen wird, ist stark verschleierter HTML-Inhalt: Wird die Seite auf dem Zielsystem angezeigt, führt dieses darin in der Regel JavaScript-Code aus, der in ein Scalable-Vector-Graphics-(SVG)-Bild eingebettet ist. Diese Daten enthalten dann wiederum verschlüsselte Informationen für eine zweite Seite, auf der die Zielperson aufgefordert wird, ihre Anmeldedaten einzugeben, um die Sprachnachricht zu hören. Laut Binary Defense wird diese Seite etwa mit CryptoJS verschlüsselt. Im Zusammenhang mit weiteren E-Mail-Angriffen gewann nach Erkenntnissen von Cofense auch „Agent Tesla“ hohe Popularität: eine kostengünstige Malware mit vielen Funktionen, die es Bedrohungsakteuren ermöglicht, Benutzerdaten zu stehlen.
Social-Engineering-Kampagnen haben sich weiterentwickelt und umfassen nun auch bösartige Anzeigen in Suchmaschinen wie Google, die ahnungslose Benutzer durch geschickte Täuschung dazu bringen, gefälschte Installationsprogramme für beliebte Software wie PuTTY, FileZilla und Room Planner herunterzuladen, die letztendlich Malware wie Nitrogen oder IDAT Loader installieren.
Die Infektionskette im Zusammenhang mit IDAT Loader ist besonders interessant, da ein MSIX-Installationsprogramm verwendet werde, um ein PowerShell-Skript zu starten: Dieses kontaktiert einen Telegram-Bot, um ein zweites PowerShell-Skript abzurufen, das auf dem Bot gehostet wird. Das erste Skript dient als Kanal für die Bereitstellung eines weiteren PowerShell-Skripts, das den Windows-Antimalware-Scan-Interface-(AMSI)-Schutz umgeht und den Loader ausführt, der schließlich den SectopRAT-Trojaner lädt. Bedrohungsforscher bei Malwarebytes empfehlen mittlerweile daher, Endgeräte durch Gruppenrichtlinien vor bösartigen Anzeigen zu schützen, indem man den Datenverkehr aus Werbenetzwerken einschränkt.