Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Eine Phishing-Kampagne, die sich als DHL ausgibt, zielt darauf ab, Benutzeranmeldedaten zu stehlen. Die Angriffskette nutzt eine gefälschte Einmalpasswort-Seite und ein Marken-Anmeldeportal, bevor die erfassten Daten über EmailJS exfiltriert werden. Nachdem die Anmeldedaten gestohlen wurden, werden die Opfer zur legitimen DHL-Website weitergeleitet, um Verdacht zu vermeiden. Der Betrieb scheint weltweit auf Verbraucher abzuzielen, während er sich auf relativ leichte Infrastruktur stützt.
Untersuchung
Forcepoint X-Labs untersuchte die Phishing-E-Mail, die bösartigen Links und das JavaScript, das für die Erzeugung eines clientseitigen OTP verantwortlich ist. Ihre Analyse zeigte, dass das Phishing-Kit Geräte- und Geolokalisierungsdetails sammelte, bevor die gesammelten Informationen über EmailJS an ein von Angreifern kontrolliertes Postfach gesendet wurden. Forschern gelang es, den vollständigen Angriffsablauf in einer Sandbox-Umgebung nachzuvollziehen.
Minderung
Organisationen sollten verdächtige Absenderdomains blockieren und auf DKIM-Ausrichtungsfehlanpassungen achten, die auf Spoofing hinweisen können. Sicherheitsteams sollten auch URLs filtern oder blockieren, die zu den identifizierten bösartigen Domains auflösen. Die Überwachung unerwarteter EmailJS-Aktivitäten mit ungewöhnlichen Nutzlasten kann helfen, Versuche des Anmeldedatendiebstahls aufzudecken, während die Durchsetzung von MFA auf DHL-bezogenen Konten eine zusätzliche Schutzschicht bietet.
Reaktion
Verteidiger sollten die betroffenen Benutzer über die Phishing-Kampagne informieren und Passwortänderungen für alle kompromittierten Konten erfordern. Die bösartige E-Mail sollte isoliert und die damit verbundenen Domains auf den E-Mail- und Web-Gateway-Ebenen blockiert werden. Erkennungsregeln sollten ebenfalls aktualisiert werden, um die beobachteten URL-Muster und die auf EmailJS-basierende Exfiltrationsmethode zu identifizieren.
graph TB %% Class Definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 %% Nodes phishing_email[„<b>Aktion</b> – <b>T1566 Phishing</b><br/><b>Beschreibung</b>: Versenden bösartiger E-Mails, die legitim erscheinen, um Opfer zu täuschen.<br/><b>Subtechnik</b>: E-Mail-Spoofing (T1672)“] class phishing_email action fake_otp_page[„<b>Aktion</b> – <b>T1656 Identitätsvortäuschung</b> und <b>T1001.003 Protokoll-Imitation</b><br/><b>Beschreibung</b>: Hosten einer gefälschten Einmalpasswort-Seite, die den Zieldienst imitiert.“] class fake_otp_page action gather_email[„<b>Technik</b> – <b>T1589 Sammeln von Identitätsinformationen des Opfers</b><br/><b>Beschreibung</b>: Erfassen der E-Mail-Adresse des Opfers über die gefälschte Seite.“] class gather_email technique browser_discovery[„<b>Technik</b> – <b>T1217 Browser-Informationsgewinnung</b> und <b>T1596.005 Suche in offenen technischen Datenbanken</b><br/><b>Beschreibung</b>: Ermitteln von Browser-, Geräte- und Betriebssystemdetails der Opferumgebung.“] class browser_discovery technique credential_harvest[„<b>Aktion</b> – <b>T1056.003 Webportal-Erfassung</b><br/><b>Beschreibung</b>: Weiterleitung des Opfers zu einem Portal zur Erfassung von Zugangsdaten.“] class credential_harvest action exfil_emailjs[„<b>Technik</b> – <b>T1114 E-Mail-Sammlung</b> und <b>T1102.002 Bidirektionale Webdienst-Kommunikation</b><br/><b>Beschreibung</b>: Verwendung von EmailJS zur Exfiltration von Zugangsdaten und Sitzungsdaten.“] class exfil_emailjs technique legit_redirect[„<b>Aktion</b> – Weiterleitung des Opfers auf die legitime DHL-Website nach der Datenexfiltration.“] class legit_redirect action %% Connections phishing_email –>|leads_to| fake_otp_page fake_otp_page –>|collects| gather_email fake_otp_page –>|collects| browser_discovery gather_email –>|provides| credential_harvest browser_discovery –>|provides| credential_harvest credential_harvest –>|exfiltrates| exfil_emailjs exfil_emailjs –>|final_redirect| legit_redirect
Angriffsablauf
## Simulation Ausführung
Voraussetzung: Die Telemetrie- & Baseline-Vorabflugprüfung muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue erwartete Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffserzählung & Befehle:
Der Gegner, der darauf abzielt, DHL-Anmeldedaten zu ernten, fälscht die
cupelva.com-Domain (eine bekannte Imitation) und erstellt eine E-Mail mit der exakten Betreffzeile, die in den letzten Kampagnen verwendet wurde. Durch den Versand dieser E-Mail über einen kompromittierten externen SMTP-Server erreicht die Nachricht die Exchange-Postfächer und erzeugt Transportlogs, die den Kriterien der Regel entsprechen. -
Regressionstest-Skript:
# Simulierte Phishing-E-Mail – sollte die Erkennungsregel auslösen $smtpServer = "smtp.malicious-host.com" # externer kompromittierter Server $msg = @{ From = "dhl@cupelva.com" To = "victim@contoso.com" Subject = "DHL EXPRESS WAYBILL CONFIRMATION REQUIRED" Body = @" Dear Customer,
Ein Frachtbrief für Ihre kürzliche Sendung erfordert eine Bestätigung. Bitte klicken Sie auf den untenstehenden Link, um Ihre Daten zu überprüfen:
https://malicious.example.com/verify
Mit freundlichen Grüßen, DHL Express „@ SmtpServer = $smtpServer } Send-MailMessage @msg
- **Aufräumbefehle:**
powershell
# Entfernen der Test-E-Mail aus dem Postfach des Opfers (Exchange PowerShell)
Import-Module ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName admin@contoso.com
Search-Mailbox -Identity "victim@contoso.com" -SearchQuery 'Subject:"DHL EXPRESS WAYBILL CONFIRMATION REQUIRED"' -DeleteContent
Disconnect-ExchangeOnline -Confirm:$false## Ausweichbewertung & Härtungsempfehlungen
| Mögliche Ausweichtechnik | Wahrscheinlichkeit | Auswirkung auf die Regel | Minderung |
|---|---|---|---|
| Betreffzeile ändern (z.B. Leerzeichen hinzufügen, Groß-/Kleinschreibung ändern) | Hoch | Regel verpasst das Ereignis | Verwenden Sie regex mit Groß-/Kleinschreibungsunabhängigkeit und unscharfers Schlüsselwortmatching (subject|contains|regex: "DHLs+EXPRESS.*WAYBILL.*REQUIRED"). |
Eine andere gefälschte Domain verwenden (z.B. dhl-express.co) |
Hoch | Regel verpasst das Ereignis | Integrieren Sie DKIM/SPF-Ausfallerkennung und suchen Sie nach bekannten markenbezogenen Schlüsselwörtern unabhängig von der Absender-Domain. |
| Bösartigen Link einbetten, aber Betreff unverändert lassen | Mittel | Regel wird weiterhin ausgelöst (gut) | URL-Rufüberprüfung hinzufügen, um das Vertrauen zu erhöhen. |
| Als Anhang senden (T1192) statt im Textkörper | Low | Regel bleibt unverändert (Betreff passt weiterhin) | Regel erweitern, um Anhangsmetadaten zu inspizieren (Dateinamen, MIME-Typen). |
Empfehlungen
- Erweiterte Absenderevaluation: Statt einer einzigen festcodierten Domain markieren Sie jede E-Mail, die die SPF/DKIM-Ausrichtung für die „dhl.com“-Marke nicht besteht und DHL-bezogene Schlüsselwörter enthält.
- Unscharfes Betreff-Matching: Ersetzen Sie die exakte Zeichenfolgensuche durch ein regex, das Variationen, Groß-/Kleinschreibungsunterschiede und häufige Verschleierungen erfasst.
- Mit URL-Ruf anreichern: Analysieren Sie den Nachrichtentext nach URLs; markieren Sie, wenn ein Link zu einem bekannten bösartigen Host auflöst oder URL-Kürzer verwendet.
- Heuristik für Anhänge hinzufügen: Wenn die Regel
attack.t1192markiert, integrieren Sie Überprüfungen für doppelte Erweiterungsdateien oder Skripte, die häufig bei DHL-bezogenen Phishing verwendet werden.
Die Implementierung dieser Maßnahmen zur Härtung wird die Widerstandsfähigkeitspunkte in Richtung 4–5erhöhen und das Risiko von einfachen Umgehungen verringern, während die Falsch-Positiv-Rate niedrig bleibt.