E-Mail Sicherheit

Neue Business Email Compromise-Aktivitäten mit COVID-19-Thematik

, München, Unit 42 | Autor: Herbert Wieler

Neue Business Email Compromise-Aktivitäten mit COVID-19-Thematik

Spur führt ins nigerianische Cybercrime-Umfeld

Laut dem kürzlich veröffentlichten Jahresbericht des Internet Crime Complaint Center (IC3) beobachtete das FBI im Jahr 2019 einen Rekord von 23.775 Business Email Compromise (BEC)-Angriffen. Diese Cyberangriffe, die deutlich mehr als alle anderen Kategorien der Cyberkriminalität im gleichen Zeitraum ausmachten, führten weltweit zu finanziellen Schäden in Höhe von schätzungsweise 1,77 Milliarden US-Dollar.

Angesichts der globalen Auswirkungen von COVID-19 beschleunigen mehr Unternehmen als je zuvor die Migration zu Cloud-Infrastrukturen. Gleichzeitig arbeitet ein großer Teil der Belegschaft von Zuhause aus und ist verständlicherweise an allen Themen im Zusammenhang mit dem Virus interessiert. Angesichts dieses Trends sollte es nicht überraschen, dass BEC-Akteure die Gelegenheit ergreifen, die Situation durch maßgeschneiderte Phishing-Kampagnen im Zusammenhang mit COVID-19 auszunutzen.

Unit 42, die Security-Forschungsabteilung von Palo Alto Networks, konzentrierte sich zuletzt auf eine der aktivsten Untergruppen der globalen Bedrohungslandschaft. Das Forscherteam verfolgte nigerianische Cyberkriminelle, die unter dem Namen SilverTerrier an BEC-Aktivitäten beteiligt sind. Im Zeitraum von 90 Tagen (30. Januar bis 30. April) hat Unit 42 beobachtet, wie drei SilverTerrier-Akteure/Gruppen zehn Malware-Kampagnen zum Thema COVID-19 starteten. Bei diesen Kampagnen waren mehr als 170 Phishing-E-Mails im Umlauf, die im Kundenstamm von Palo Alto Networks beobachtet wurden. Die Akteure sind zwar sehr breit gefächert in ihrer Zielgruppe, haben aber nun gezielt Organisationen ins Visier zu nehmen, die für die Reaktion auf COVID-19 entscheidend sind.

Insbesondere ist es alarmierend, dass mehrere dieser Kampagnen rücksichtslos auf staatliche Gesundheitsbehörden, lokale und regionale Regierungen und große Universitäten mit medizinischen Programmen/Zentren abzielten. Ebenfalls im Visier fanden sich regionale Versorgungsunternehmen, medizinische Verlage und Versicherungsgesellschaften. Geografisch waren die USA, Australien, Kanada, Italien und Großbritannien betroffen.

Unit 42 identifizierte die stärkste Aktivität in acht dieser zehn Kampagnen, die entweder direkt oder nachrangig mit einem der Cybersicherheits-Community bekannten SilverTerrier-Akteur in Verbindung stehen.

Bei der Untersuchung des Zusammenhangs zwischen einem Akteur aus dem nigerianischen Cyberkriminalitätsmilieu und den ersten vier Phishing-Kampagnen stellte Unit 42 fest, dass sich mehrere interessante Zusammenhänge ergaben. Malware-Verknüpfungen aus diesen Kampagnen und frühere BEC-Aktivitäten standen in Zusammenhang mit Erkenntnissen über die Lokibot-Malware. Auch wenn nicht alle Aktivitäten einem Akteur eindeutig zuzuordnen sind, so zeigen diese Verbindungen doch einen Weg auf, der von der Infrastruktur des Akteurs über die Infrastruktur für diese neuen COVID-19-Kampagnen bis zurück nach Nigeria führt.

Köderdokumente mit COVID-19-Bezug

Die Cyberkriminellen versendeten unter anderem E-Mails mit einem Bestellformular für COVID-19-bezogene Produkte. Ein Excel-Dokument wurde angehängt und so konfiguriert, dass es die CVE 2017-11882-Schwachstelle ausnutzt, um eine ausführbare Datei herunterzuladen und auszuführen. Die Ableitung von Verknüpfungen aus den Verbindungen, die in den Kampagnen verwendet wurden, erwies sich aufgrund der Funktion und Anonymität, die dynamische DNS-Dienste bieten, als außerordentlich schwierig. Indem die Forscher sich jedoch durch mehrere Schichten der Verschleierung vorarbeiteten, konnten sie drei Cluster von DuckDNS-Hosts mit Verbindungen nach Nigeria identifizieren.

Eine weitere Kampagne wurde gestartet, bei der zwei Samples des NanoCore RAT als komprimierte RAR-Dateien mit einem Impfstoff-bezogenen Köder verpackt wurden. Diese Samples wurden an mehrere Organisationen geschickt, darunter eine staatliche Gesundheitsbehörde und zwei Universitäten mit medizinischen Programmen in den USA sowie an eine kanadische Krankenversicherung.

Gesundheitswesen, Forschung und staatliche Infrastruktur im Visier

Am 8. April 2020 verfolgten die Security-Forscher die jüngste Kampagne dieser Reihe. Zu den breit gestreuten Zielen gehörten eine staatliche Gesundheitsbehörde, die staatliche Infrastruktur und eine Krankenkasse in den USA, eine Universität und eine Regionalregierung in Italien sowie verschiedene Regierungsinstitutionen in Australien. Getrennt von den oben genannten Kampagnen identifizierten die Forscher eine einzige Kampagne, die mit dem Namen Alhaji verbunden war. Zwischen dem 23. und 24. März 2020 startete zudem ein SilverTerrier-Akteur mit dem Namen Black Emeka eine Reihe von E-Mails mit bösartigen Anhängen.

Im weiteren Verlauf des Jahres 2020 dürfte Malware, die zur Unterstützung ausgeklügelter BEC-Programme eingesetzt wird, eine der auffälligsten Bedrohungen bleiben. Angesichts der globalen Auswirkungen von COVID-19 haben die SilverTerrier-Akteure begonnen, ihre Phishing-Kampagnen anzupassen. Sie werden wahrscheinlich auch weiterhin E-Mails mit dem COVID-19-Thema einsetzen, um Commodity-Malware zur breiten Unterstützung ihrer Ziele zu verbreiten.

Sicherheitsforscher raten zu Vorsichtsmaßnahmen

Angesichts dieses Trends raten die Forscher Regierungsbehörden, Gesundheits- und Versicherungsorganisationen, öffentlichen Versorgungsbetriebe und Universitäten mit medizinischen Programmen zu Vorsichtsmaßnahmen. E-Mails mit COVID-19-Bezug, die Anhänge enthalten, gilt es besonders genau zu prüfen.

Organisationen mit geeigneter Spam-Filterung, ordnungsgemäßer Systemadministration und aktuellen Windows-Hosts haben ein viel geringeres Infektionsrisiko. Die Forscher empfehlen den Administratoren darüber hinaus, die Installation des Microsoft-Patches für CVE 2017-11882 zu validieren.