Microsoft Teams-Themen-Phishing-Kampagne liefert Remote-Zugriff
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Eine aktive Phishing-Kampagne nutzt Microsoft-Teams-Themen, um legitime Remote-Zugriffswerkzeuge für unbefugten Zugriff zu verteilen. Opfer werden auf betrügerische Zielseiten geleitet, die Produktivitätsdienste imitieren, um bösartige Installer herunterzuladen. Die Operation verwendet eine Doppel-Infrastrukturstrategie, die sowohl kompromittierte legitime Websites als auch von Angreifern kontrollierte Cloud-Hosts umfasst.
Untersuchung
Die Untersuchung identifizierte eine Kampagne mit mehreren Themen, die Social Engineering nutzt, um Softwaredownloads zu forcieren. Analysen zeigten eine Infrastruktur, die aus kompromittierten kleinen Unternehmenswebsites und dedizierten Cloudflare-gehosteten Diensten besteht. Aktivitäten nach der Ausführung umfassen tiefgehende Systemintegration durch Serviceinstallation, LSA-Authentifizierungspaket-Registrierung und COM-Objekt-Entführung für dauerhaften Zugriff.
Minderung
Organisationen sollten phishing-resistente MFA und Anwendung-Whitelisting implementieren, um unbefugte Softwareinstallation zu verhindern. Sicherheitsteams sollten auf ungewöhnliche Erstellungen von Windows-Diensten, Änderungen von LSA-Authentifizierungspaketen und SafeMode-Registrierungsänderungen achten. Benutzerschulungen sollten sich speziell auf die Überprüfung unerwarteter Benachrichtigungen von Kollaborationsplattformen konzentrieren.
Reaktion
Nach der Erkennung sollten Organisationen betroffene Endpunkte isolieren, um weitere laterale Bewegungen zu verhindern. Eine forensische Überprüfung sollte durchgeführt werden, um alle Persistenzmechanismen, einschließlich benutzerdefinierter Authentifizierungsanbieter und COM-Objekte, zu identifizieren und zu entfernen. Ein umfassender Passwort-Reset für alle betroffenen Benutzerkonten wird dringend empfohlen.
"flowchart TD step_initial_access["Initial Access: T1566.002 u2013 Phishing: Spearphishing-Link über imitierte Microsoft-Teams-Benachrichtigungen"] step_drive_by["T1189 u2013 Drive-by-Komprimierung über betrügerische Zielseite, die den Installer-Download fordert"] step_user_execution["Benutzerausführung: T1204.002 u2013 Bösartige Datei; umfasst Systemüberprüfungen (T1497.001) und verzögerte Ausführung (T1678)"] step_execution_injection["T1055 u2013 Prozessinjektion über COM-Objektregistrierung und Nutzung von Remote Access Tools (T1219)"] rules_for_execution_injection("<b>Regelname</b>: Verdächtige Befehls- und Kontrollaktivitäten durch ungewöhnliche Top-Level-Domain (TLD) DNS-Anfrage (via dns)<br/><b>Regel-ID</b>: eca0d706-cdb9-488b-b4e2-ef2a4692f58c") step_persistence["Persistenz: T1543.003 (Windows-Dienst), T1547.002 (Boot/Logon Autostart) und T1546.015 (COM-Entführung)"] step_credential_access["Anmeldeinformationen-Zugang: T1556 u2013 Modifizierung des Authentifizierungsprozesses zum Abfangen von Anmeldeinformationen beim Login"] step_initial_access –>|führt zu| step_drive_by step_drive_by –>|führt zu| step_user_execution step_user_execution –>|führt zu| step_execution_injection step_execution_injection –>|führt zu| step_persistence step_persistence –>|führt zu| step_credential_access step_execution_injection -.->|erkannt von| rules_for_execution_injection "
Angriffsablauf
Erkennungen
Möglicher Missbrauch von Cloudflare-Entwicklungsdomain (via dns)
Ansehen
Verdächtige Befehls- und Kontrollaktivitäten durch ungewöhnliche Top-Level-Domain (TLD) DNS-Anfrage (via dns)
Ansehen
Erkennung der Microsoft-Teams-Themen-Phishing-Kampagne [Windows-Prozess-Erstellung]
Ansehen
Erkennung der Microsoft-Teams-Phishing-Kampagne [Microsoft Windows Sicherheitsereignis-Log]
Ansehen
Simulationsausführung
Voraussetzung: Der Telemetrie- und Baseline-Vorab-Prüfung muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffserzählung & Befehle: Der Angreifer liefert eine Microsoft-Teams-Themen-Phishing-E-Mail mit einem Link zu einer bösartigen
.msi-Paket. Wenn der Benutzer das Paket ausführt,wird msiexec.exe mit Parametern aufgerufen, die darauf abzielen, eine versteckte Hintertür zu installieren. Um Persistenz zu erreichen, ruft der Installeris invoked with parameters designed to install a hidden backdoor. To achieve persistence, the installer invokesrundll32.exeauf, um eine benutzerdefinierte DLL zu laden, die einen neuen Systemdienst registriert. Die Befehlszeile enthält speziell den StringDienstum das im Bedrohungsinformationsbericht beschriebene Verhalten zu imitieren und somit die Erkennungsregel auszulösen. -
Regressionstest-Skript:
# Simulationskript, um die Erkennungsregel auszulösen # Ziel: Ausführen von msiexec oder rundll32 mit 'service' in der Befehlszeile Write-Host "[+] Simulation startet: MSI/Rundll32-Service-Erkennung auslösen" -ForegroundColor Cyan # Szenario 1: Auslöser über msiexec.exe Write-Host "[+] Szenario 1: Ausführen von msiexec mit 'service'-Schlüsselwort..." -ForegroundColor Yellow Start-Process "msiexec.exe" -ArgumentList "/i C:WindowsSystem32msiexec.exe /service /quiet" -Wait # Szenario 2: Auslöser über rundll32.exe Write-Host "[+] Szenario 2: Ausführen von rundll32.exe mit 'service'-Schlüsselwort..." -ForegroundColor Yellow Start-Process "rundll32.exe" -ArgumentList "C:WindowsSystem32user32.dll,UpdatePerUserSystemParameters service" -Wait Write-Host "[+] Simulation abgeschlossen." -ForegroundColor Green -
Bereinigungskommandos:
# Keine dauerhaften Änderungen wurden durch das Simulationsskript vorgenommen, da es bestehende Systembinärdateien # und nicht-destruktive Argumente nutzte. Keine Bereinigung erforderlich. Write-Host "[+] Bereinigung: Keine Artefakte erstellt." -ForegroundColor Cyan