Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Eine Phishing-E-Mail, die sich als DHL ausgab, lenkte den Empfänger zu einem PDF-Anhang, der sie anwies, auf eine Schaltfläche zu klicken. Diese Schaltfläche führte zum Herunterladen einer bösartigen .scr Datei von einer kompromittierten vietnamesischen Logistik-Website. Nach der Ausführung installierte die Datei ein signiertes SimpleHelp-Remote-Zugriffstool, das dem Angreifer den Aufbau eines dauerhaften Fernzugriffs auf den Rechner des Opfers ermöglichte.
Untersuchung
Der Bericht erklärt, dass die Phishing-E-Mail Bilder nutzte, die auf einem legitimen Yahoo-Dienst gehostet wurden, um überzeugender zu erscheinen und auf eine gefälschte Absenderadresse zurückzugreifen, um eine vertrauenswürdige Quelle nachzuahmen. Die heruntergeladene .scr Datei wurde als modifizierter SimpleHelp-Remote-Management-Installer identifiziert, der eine UAC-Aufforderung auslöste, bevor er ausgeführt wurde. Nach der Installation initiierte die Software eine ausgehende Kommunikation mit von Angreifern kontrollierter Infrastruktur, um Befehle zu empfangen und die Kontrolle über das kompromittierte System aufrechtzuerhalten.
Abschwächung
Organisationen sollten Benutzer darin schulen, Absenderadressen sorgfältig zu überprüfen und genau auf verdächtige Dateierweiterungen zu achten, bevor sie Anhänge oder Downloads öffnen. Wo immer möglich, sollte eine Multi-Faktor-Authentifizierung aktiviert werden, und Endpunktschutz mit aktuellen Webfilter-Funktionen sollte eingesetzt werden, um bösartige Inhalte zu blockieren. Verteidiger sollten auch die identifizierte bösartige Domain blockieren und auf unbefugte SimpleHelp-Aktivität im gesamten Umfeld überwachen.
Reaktion
Wenn diese Aktivität erkannt wird, sollte der betroffene Endpunkt sofort isoliert, der SimpleHelp-Prozess beendet und die bösartige .scr Datei vom Host entfernt werden. Ermittler sollten dann eine forensische Analyse durchführen, um zusätzliche Artefakte oder nachfolgende Aktivitäten im Zusammenhang mit dem Eindringen zu identifizieren. Alle auf dem kompromittierten System verwendeten Anmeldeinformationen sollten zurückgesetzt und E-Mail-Sicherheitsregeln gestärkt werden, um die Exposition gegenüber ähnlichen Phishing-Ködern in Zukunft zu reduzieren.
"graph TB %% Class definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef file fill:#ccffcc classDef malware fill:#ff9999 classDef protocol fill:#ccccff %% Nodes action_phishing["<b>Aktion</b> – Phishing-Kampagne"] class action_phishing action tech_T1566_001["<b>Technik</b> – T1566.001 Phishing: Spearphishing-Anhang<br/><b>Beschreibung</b>: Gezielt zugeschnittene Phishing-E-Mails, die bösartige Anhänge enthalten."] class tech_T1566_001 technique file_pdf["<b>Datei</b> – Bösartiger PDF-Anhang (als DHL ausgegeben)"] class file_pdf file action_user_exec["<b>Aktion</b> – Ausführung einer bösartigen Datei durch den Benutzer"] class action_user_exec action tech_T1204_002["<b>Technik</b> – T1204.002 Ausführung durch Benutzer: Bösartige Datei<br/><b>Beschreibung</b>: Der Benutzer wird dazu verleitet, eine bösartige Datei zu öffnen oder auszuführen."] class tech_T1204_002 technique file_scr["<b>Datei</b> – AWB-Doc0921.scr heruntergeladen und ausgeführt"] class file_scr file tech_T1553_002["<b>Technik</b> – T1553.002 Vertrauensschutzkontrollen untergraben: Code-Signierung<br/><b>Beschreibung</b>: Gegner nutzen gestohlene oder gefälschte Codesignierungszertifikate, um bösartige Dateien zu signieren."] class tech_T1553_002 technique tech_T1036_008["<b>Technik</b> – T1036.008 Verschleierung: Dateityp verschleiern<br/><b>Beschreibung</b>: Dateien werden umbenannt oder als andere Typen präsentiert, um Abwehrmaßnahmen zu umgehen."] class tech_T1036_008 technique malware_simplehelp["<b>Malware</b> – SimpleHelp Remote-Access-Tool"] class malware_simplehelp malware tech_T1219["<b>Technik</b> – T1219 Remote-Access-Tools<br/><b>Beschreibung</b>: Einsatz von Remote-Access-Tools zur Kontrolle kompromittierter Hosts."] class tech_T1219 technique tech_T1071_001["<b>Technik</b> – T1071.001 Anwendungsschichtprotokoll: Webprotokolle<br/><b>Beschreibung</b>: Verwendung von HTTP/HTTPS für Befehls- und Kontrollkommunikation."] class tech_T1071_001 protocol tech_T1133["<b>Technik</b> – T1133 Externe Remote-Dienste<br/><b>Beschreibung</b>: Einsatz legitimer Remotedienste, um auf kompromittierte Systeme zuzugreifen."] class tech_T1133 technique %% Connections action_phishing –>|verwendet| tech_T1566_001 tech_T1566_001 –>|liefert| file_pdf file_pdf –>|löst aus| action_user_exec action_user_exec –>|verwendet| tech_T1204_002 tech_T1206_002 –>|führt aus| file_scr file_scr –>|signiert mit| tech_T1553_002 tech_T1553_002 –>|ermöglicht| tech_T1036_008 tech_T1036_008 –>|führt zu| malware_simplehelp malware_simplehelp –>|verwendet| tech_T1219 malware_simplehelp –>|kommuniziert über| tech_T1071_001 malware_simplehelp –>|zugriff über| tech_T1133 "