Neue Erkenntnisse zu aktiver RMM-Angriffskampagne in Deutschland

Von Eric Litowsky, Sales Director bei BlueVoyant

Forscher der Threat Fusion Cell (TFC) und das Security Operations Center (SOC) von BlueVoyant haben gemeinsam eine neue, breit angelegte Angriffskampagne entdeckt, bei der Cyberkriminelle Fernwartungssoftware (Remote Monitoring and Management, RMM) missbrauchen. Die Vorgehensweise ist raffiniert: Opfer werden auf täuschend echte Fake-Webseiten gelockt, auf denen ein bösartiges JavaScript unauffällig ein eigentlich legitimes Fernwartungstool herunterlädt, installiert und startet – ohne dass die IT-Sicherheitsmechanismen der Betroffenen Alarm schlagen.

Die Untersuchungen von BlueVoyant zeigen, dass die Kampagne bereits Ende 2024 gestartet ist und weiterhin aktiv ist – auch in Deutschland.

Der Einstiegspunkt ist meist eine E-Mail. Darin werden die Empfänger aufgefordert, auf einen Link zu klicken, der sie auf eine gefälschte Webseite führt. Die Absender geben sich dabei unterschiedlich aus: mal als Regierungsbehörde, mal als Unternehmen oder Organisation. Inhaltlich drehen sich die Nachrichten um Rechnungen, Mahnungen, Verträge, Voicemail-Benachrichtigungen oder Veranstaltungseinladungen. Das gemeinsame Muster: gezieltes Social Engineering, das Druck und Dringlichkeit erzeugt, um die Opfer zu einer schnellen, unüberlegten Reaktion zu bewegen.

Die Fake-Webseiten selbst gehen jedoch über klassisches Phishing hinaus. Ziel ist nicht die Eingabe von Zugangsdaten. Vielmehr erinnert der Angriff an einen modernen Tech-Support-Scam – allerdings ohne sichtbaren „Support“.

Beim Aufruf der Webseite wird ein JavaScript ausgelöst, das zunächst verschiedene System- und Metadaten sammelt, etwa IP-Adresse, verwendetes Endgerät, Browser oder Bildschirmauflösung. Diese Informationen werden an einen Telegram-Bot übermittelt. Erkennt das Skript, dass der Zugriff von einem Windows- oder macOS-Rechner erfolgt, startet es im Hintergrund automatisch den Download eines getarnten RMM-Agenten.

Nach dem Download installiert sich der Agent selbstständig und legt eine Konfigurationsdatenbank an, in der unter anderem der Remote-Server, eine Geräte-ID, Schlüsselpaare und die Socket-URL hinterlegt sind. Anschließend verbindet sich das Tool mit der Cloud-Infrastruktur des jeweiligen RMM-Anbieters. Über diese Verbindung können Angreifer ihre Aktivitäten unauffällig durchführen – getarnt als legitimer Administrationsverkehr im normalen Netzwerkrauschen. Zum Einsatz kommen dabei unterschiedliche, eigentlich legitime Werkzeuge wie PDQ, Atera, ScreenConnect oder SimpleHelp.

Die Analyse der eingesetzten Taktiken, Techniken und Verfahren zeigte, dass das BlueVoyant SOC bereits einen Großteil dieser Aktivitäten erkennen konnte – insbesondere RMM-Installationen, die über Browserprozesse angestoßen werden. Um die Erkennungsleistung weiter zu erhöhen, wurden zusätzliche kampagnenspezifische Merkmale in die Detection-Regeln aufgenommen. Kunden des BlueVoyant Continuous Monitoring Service erhielten diese Erkenntnisse ebenfalls als Update.

Die klare Empfehlung an Unternehmen und Security-Anbieter lautet daher: SOC-Erkennungsmechanismen regelmäßig überprüfen und anpassen. Die Kampagne macht deutlich, dass RMM-basierte Angriffe qualitativ deutlich an Raffinesse gewonnen haben.