Microsoft Office SharePoint im Visier von hochriskanten Phish- und Ransomware-Angriffen

Cyber Security News

SharePoint-Server werden mit hochriskanten, legitim aussehenden, gebrandmarkten Phish-Nachrichten angegriffen und von einer Ransomware-Bande, die einen alten Bug nutzt, heimgesucht.

Eine Phishing-Kampagne, die von Forschern bei Cofense entdeckt wurde, hüllt sich in ein Microsoft Office SharePoint-Thema und umgeht erfolgreich Sicherheits-E-Mail-Gateways (SEGs). In einem Beitrag am Dienstag sagte das Unternehmen, dass dies ein Beispiel dafür ist, warum es nicht immer ratsam ist, Dokumente über Microsofts sehr beliebte und weit verbreitete SharePoint-Kollaborationsplattform zu teilen.

Der Phish zielt auf Office 365-Benutzer mit einem legitim aussehenden SharePoint-Dokument ab, das vorgibt, dringend eine E-Mail-Signatur zu benötigen. Die Kampagne tauchte an einer Stelle auf, die durch Microsofts eigene SEG geschützt sein sollte. Dies ist nicht das erste Mal, dass das SEG-Heiligtum verschmutzt wird: Im Dezember spoofte Spearphishers Microsoft.com selbst, um 200 Millionen Office 365-Benutzer anzugreifen. Dabei schlüpften sie erfolgreich an den SEG-Kontrollen vorbei, da Microsoft angeblich die domänenbasierte Nachrichtenauthentifizierung, Reporting & Camp; Conformance (DMARC) nicht durchsetzte: ein E-Mail-Authentifizierungsprotokoll, das speziell entwickelt wurde, um exaktes Domain-Spoofing (SPF/DKIM) zu stoppen.

‘Antwort dringend erforderlich…?’

Wie dieses Bild des Textes in der Phishing-E-Mail zeigt, sind die Rechtschreibung und die Grammatik, die in der gefälschten Nachricht verwendet werden, nicht die ungeheuerlichsten, grauenhaftesten, syntaktisch bizarren Giveaways, die man in dieser Art von Phishing-Kampagnen finden kann. Aber andererseits kann man wohl davon ausgehen, dass jede SharePoint-Nachricht, die Sie zu einer “dringenden Antwort” auffordert, nicht von einem Muttersprachler stammt.

Bild zum Vergrößern anklicken

Allein die Tatsache, dass die Nachricht den Empfängern Dringlichkeit vorgaukelt, sollte natürlich ein Hinweis sein: “Rush-rush” ist eine typische Phishing-Masche. Cofense merkt an, dass auch die Tatsache, dass der Name des Benutzers nicht in der Eröffnungsnachricht auftaucht, ein Hinweis darauf ist, dass es sich um eine Massenverteilungskampagne handelt, mit der viele Ziele erreicht werden sollen.

Wenn die Empfänger mit dem Mauszeiger über den Hyperlink fahren, sehen sie auch keinen Hinweis auf Microsoft. Diejenigen, die auf den Link klicken, werden stattdessen auf die unten gezeigte Landing Page weitergeleitet, die das SharePoint-Logo von Microsoft und die Benachrichtigung “Pending file” vor einem unscharfen Hintergrund anzeigt und das Opfer auffordert, sich anzumelden, um das Dokument zu sehen. Das “könnte für Bedrohungsakteure ausreichen, um die persönlichen Daten der Benutzer zu extrahieren und zu sammeln”, so Cofense. Wenn die Anmeldedaten übergeben werden, leitet die Kampagne den Benutzer zu einem gefälschten, nicht verwandten Dokument weiter, “was ausreichen könnte, um den Benutzer glauben zu lassen, dass es sich um eine legitime Transaktion handelt”, so Cofense.

In seinem X-Force Threat Activity Report stufte IBM den Phish als hochriskante Bedrohung ein und gab diese Empfehlungen: Stellen Sie sicher, dass die Antiviren-Software und die zugehörigen Dateien auf dem neuesten Stand sind. Suchen Sie nach vorhandenen Anzeichen für die angegebenen Kompromittierungsfälle (IoCs) in Ihrer Umgebung. Erwägen Sie das Blockieren und/oder Einrichten einer Erkennung für alle URL- und IP-basierten IoCs. Halten Sie Anwendungen und Betriebssysteme auf dem aktuell freigegebenen Patch-Level. Seien Sie vorsichtig mit Anhängen und Links in E-Mails.

[Blocked Image: https://alltechnews.de/daten/2021/04/1619636465_118_Microsoft-Office-SharePoint-im-Visier-von-hochriskanten-Phish-und-Ransomware-Angriffen.png]

Bild zum Vergrößern anklicken

Obwohl diese Phishing-Kampagne ein hohes Risiko darstellt, ist sie im Grunde nur eine weitere Geschichte eines böswilligen Akteurs, der gefälschtes Material veröffentlicht, das legitim aussieht, um Benutzer zum Klicken zu verleiten, in der Hoffnung, Anmeldeinformationen zu erhalten. Es handelt sich um einen weiteren Angriff auf SharePoint-Server, die sich nun in die Liste der Netzwerkgeräte einreihen, die von Ransomware-Banden genutzt werden, um Unternehmensnetzwerke zu knacken – darunter die viel gescholtenen Microsoft Exchange-E-Mail-Server, SonicWall-Gateways und Pulse Secure-Gateways.

Womit wir bei Ransomware wären: der zweite Schlag im doppelten SharePoint-Whammy:

Ransomware-Bande schlägt über Wickr zu

Es handelt sich um eine relativ neue Variante, die erstmals im Januar von Pondurance entdeckt wurde. Analysten geben ihr zwei Namen: Hello, da einige Exemplare die Endung .hello verwenden, oder WickrMe, da die Bande, die sie verbreitet, den verschlüsselten Instant-Messaging-Dienst Wickr nutzt, um von den Opfern Lösegeld zu erpressen.

Die Angreifer nutzen eine verstaubte Microsoft SharePoint 2019-Schwachstelle (CVE-2019-0604), um sich in die Netzwerke der Opfer einzuschleichen. Von dort aus nutzen sie Cobalt Strike, um auf den Domain-Controller zu schwenken und Ransomware-Angriffe zu starten.

CVE-2019-0604 ist eine CVE mit hohem Schweregrad, die zu Remote-Code-Ausführung führen kann. Microsoft hat die Schwachstelle im März 2019 gepatcht, aber trotzdem scheint es kein Ende der Angriffe zu geben, die diese Schwachstelle seither nutzen, um in ungepatchte Server einzudringen. Ein Beispiel: Microsoft warnte im Oktober 2020, dass iranische Akteure aus dem Nationalstaat CVE-2019-0604 nutzen, um remote ungepatchte Server auszunutzen und dann eine Web-Shell zu implantieren, um dauerhaften Zugriff und Codeausführung zu erhalten. Nach der Installation der Web-Shell setzt ein Angreifer Cobalt Strike ein – ein kommerziell erhältliches Tool für Penetrationstests, mit dem er später eine Hintertür installiert, über die er ein automatisiertes PowerShell-Skript ausführen kann, das schließlich die endgültige Nutzlast herunterlädt und installiert: die Hello/Wickr-Ransomware.

Laden Sie “The Evolution of Ransomware” herunter, um wertvolle Einblicke in aufkommende Trends inmitten eines schnell wachsenden Angriffsvolumens zu erhalten. Klicken Sie oben, um Ihre Verteidigungsintelligenz zu verbessern!

Jeff Costlow, CISO von ExtraHop, erklärte am Mittwoch gegenüber Threatpost, dass die Ransomware-Angriffe auf die Sicherheitslücke von 2019, die SharePoint-Server betrifft, die heimtückischere Bedrohung im Doppelpack sind, da sie eine Fernsteuerungssoftware installieren und so einen direkten Zugriff auf die Infrastruktur ermöglichen, in der sich Angreifer frei austoben können.

“Der gemeinsame Nenner ist der SharePoint-Server”, so Costlow in einer E-Mail. “Jeder, der SharePoint nutzt, muss sicherstellen, dass er alle Instanzen von SharePoint patcht, um die Installation von Malware/Ransomware zu verhindern. Langfristig wird kein noch so großes Patching das Phishing-Problem lösen. Es ist zu einfach für Angreifer, Websites zu erstellen, die legitime Websites imitieren. Wir müssen die Art und Weise des Austauschs neu überdenken. Sicherheitsteams müssen eine proaktive Haltung einnehmen, um ihren Benutzern zu helfen, ihre Geschäfte sicher zu führen. Es gibt verschiedene Taktiken, um Benutzer vor möglichen Angriffen zu warnen, z. B. die Einrichtung jedes SharePoint-Servers mit einem vertrauten Hintergrund oder Bild für Benutzer, um sicherzustellen, dass sie ihre Anmeldedaten nur auf legitimen Websites eingeben.”

Zwei getrennte SharePoint-Angriffe

Cofense teilte Threatpost am Mittwochmorgen in einer E-Mail mit, dass es keinen offensichtlichen Zusammenhang zwischen der SharePoint-Phishing-Kampagne, die seine Analysten aufgedeckt haben, und der laufenden Ausnutzung von SharePoint-Server-Schwachstellen durch die Wickr/Hello-Ransomware-Gang gibt.

Ein Experte merkte jedoch an, dass es eine monotone Regelmäßigkeit im Muster gibt, dem diese Angriffe folgen: Erst wird eine Sicherheitslücke bekannt, dann wird sie von Angreifern ausgenutzt, die auf der Suche nach ungepatchten Servern sind.

In einer E-Mail an Threatpost vom Mittwoch sagte Avihai Ben-Yossef, CTO und Mitbegründer von Cymulate, dass dies immer wieder vorkommt. “Im letzten Jahr sehen wir ein sich wiederholendes Muster bei solchen Angriffen. Ein Zero-Day wird von einem nationalstaatlichen Akteur ausgenutzt”, sagte er. “Das betroffene Unternehmen – in diesem Fall Microsoft – gibt die Schwachstelle bekannt und patcht sie anschließend. Dann erfahren andere nationale Akteure von der Schwachstelle und starten Angriffe auf diejenigen, die nicht gepatcht haben. Schließlich kommen die kriminellen Ransomware-Angreifer ins Spiel, verbreiten die Schwachstelle im Dark Net und nutzen sie … um ihre eigenen Angriffe zu starten. Der doppelte SharePoint-Hammer ist die Tatsache, dass staatliche Akteure es zuerst als Zero-Day-Schwachstelle (und dann als bekannte Schwachstelle) genutzt haben. Dann kamen Ransomware-Akteure hinzu und nutzten es ebenfalls.

“Die Idee ist zu wissen, welche Art von Problemen Sie haben und wo”, sagte er. “Wenn man das nicht weiß, kann man sich nicht schützen. Organisationen müssen eine bessere Reaktionsfähigkeit entwickeln, um diese Ankündigungen und Bedrohungsinformationen zu verfolgen und schneller zu patchen.”

Nehmen Sie mit Threatpost an der Veranstaltung “Fortifying Your Business Against Ransomware, DDoS & Cryptojacking Attacks” teil – ein LIVE-Roundtable-Event am Mi, 12. Mai um 14:00 Uhr EDT. Gesponsert von Zoho ManageEngine, moderiert Threatpost-Moderatorin Becky Bracken eine Expertenrunde, die die besten Abwehrstrategien für diese Bedrohungen des Jahres 2021 diskutiert. Fragen und LIVE-Beteiligung des Publikums sind erwünscht. Nehmen Sie an der lebhaften Diskussion teil und registrieren Sie sich HIER kostenlos.

Einige Teile dieses Artikels stammen aus:
threatpost.com