SolarWinds-Angreifer nutzten das Vertrauen in das E-Mail-Marketing von Constant Contact und USAID, um eine Kampagne zu starten

Cyber Security News

Ein Stand von Constant Contact auf dem eAltitude Summit im Jahr 2020. Forscher von Microsoft berichteten am Donnerstag, dass die APT-Gruppe, die sich Nobelium nennt, einen Kunden von Constant Contact kompromittiert hat, einem Online-Marketing-Dienstleister, der vor allem von kleinen Unternehmen für Werbezwecke und Massenmails genutzt wird. (“Nicole Breanne – Alt Summit 2020 – Sponsors – Constant Contact-8280” von Altitude Summit ist lizenziert unter CC BY-NC 2.0)

Die vom russischen Staat gesponserten Hacker, die hinter dem Angriff auf die Lieferkette von SolarWinds steckten, haben sich bei ihrem jüngsten Angriff auf ein Spielbuch im Stil der Cyberkriminalität verlassen und eine umfassende Phishing-Kampagne gestartet, die darauf abzielt, Malware an Unternehmen zu verteilen, und zwar über waffenfähige Mitteilungen, die von einem kompromittierten E-Mail-Marketing-Konto gesendet werden.

Trotz der Bekanntheit der Bedrohungsgruppe sind die Lektionen für Inhaber von E-Mail-Marketing-Konten und deren Empfänger dieselben, die auch für die meisten anderen Phishing-Angriffe gelten. Experten sagen, dass Benutzer von E-Mail-Diensten eine angemessene Passwort-Hygiene betreiben und Authentifizierungs-Tools wie die Multi-Faktor-Authentifizierung verwenden müssen, um sicherzustellen, dass niemand ihre Konten übernimmt, während Empfänger effektive E-Mail-Sicherheitslösungen installieren und entsprechend geschult werden müssen, um zu vermeiden, dass sie auf verdächtige Links und Anhänge eingehen, selbst wenn diese von einer scheinbar vertrauenswürdigen Quelle stammen.

Forscher von Microsoft berichteten am Donnerstag, dass die APT-Gruppe, die als Nobelium bezeichnet wird, einen Kunden von Constant Contact kompromittiert hat, einem Online-Marketing-Dienstleister, der vor allem von kleinen Unternehmen für Werbe- und Massenmails genutzt wird. Das betroffene Konto gehörte in diesem Fall der United States Agency for International Development (USAID), einer unabhängigen Bundesbehörde, die zivile Auslandshilfe und Entwicklungshilfe verwaltet.

Über dieses gekaperte Konto schickten die Angreifer Phishing-E-Mails an rund 3.000 E-Mail-Konten bei mehr als 150 verschiedenen Organisationen, berichtet der Autor des Microsoft-Blogposts Tom Burt, Corporate Vice President, Customer Security and Trust. Etwa 25 Prozent dieser Ziele waren internationale Entwicklungs-, humanitäre und Menschenrechtsorganisationen – deren Mitarbeiter beim Anblick einer E-Mail von USAID wohl nicht zusammenzucken würden, vor allem nicht bei einer, die von einem glaubwürdigen und legitimen Marketing-Service wie Constant Contact gesendet wurde.

Im Übrigen “gilt es als wahrscheinlicher, dass ein Marketingdienst eine unaufgeforderte E-Mail versendet hat, ohne dass die Alarmglocken läuteten, verglichen mit, sagen wir, Phishing [emails] mit einer Rechnung”, so Saumitra Das, Chief Technology Officer bei Blue Hexagon.

“Dieses von Nobelium und anderen gezeigte Angriffsmuster wird die Sensibilisierung der Mitarbeiter und die entsprechenden Schulungen noch weniger effizient machen, als sie es ohnehin schon sind”, sagte Dirk Schrader, Global Vice President, Security Research bei New Net Technologies. Bei glaubwürdigen Quellen wie in diesem Fall werden die Mitarbeiter noch mehr Schwierigkeiten haben, die E-Mails zu unterscheiden, die sicher sind und die, die es nicht sind.”

“Die Nutzung legitimer Infrastrukturen ist in der Regel das ultimative Ziel für jeden Angreifer, daher war dies ein Segen für Nobelium”, fügte Sean Nikkel, Senior Cyber Threat Intel Analyst bei Digital Shadows, hinzu. “Es ist ein perfektes Angreifer-Szenario und – abgesehen von den Anhängen, die eine rote Fahne auslösen – hätte es wahrscheinlich sogar die zynischsten Sicherheitsexperten auf den ersten Blick getäuscht.”

Während die Operation Ende Januar 2021 begann – kurz nachdem der SolarWinds-Angriff öffentlich bekannt wurde – explodierte sie im Umfang, nachdem die Nobelium-Akteure im Mai dieses Jahres begannen, den Constant Contact-Dienst zu missbrauchen. “Diese neue groß angelegte E-Mail-Kampagne nutzt den legitimen Dienst Constant Contact, um bösartige Links zu versenden, die hinter der URL des Mailing-Dienstes verborgen waren (viele E-Mail- und Dokumentendienste bieten einen Mechanismus zur Vereinfachung der Dateifreigabe, der Aufschluss darüber gibt, wer und wann Links angeklickt werden)”, schrieb Burt.

In einigen Fällen würden die Phishing-E-Mails “scheinbar von USAID stammen<[email protected]>, während sie eine authentische Absender-E-Mail-Adresse haben, die mit dem Standarddienst Constant Contact übereinstimmt”, heißt es im Microsoft-Blogpost. Diese Adresse (die für jeden Empfänger unterschiedlich ist) endet auf in@in.constantcontact.com, und… eine Reply-To-Adresse von <[email protected]>wurde beobachtet.”

In einem der vorgestellten Beispiele wurde im Textkörper der Anschein erweckt, es handele sich um eine USAID-Warnung mit einem Link, der angeblich zu Dokumenten über Wahlbetrug führte, die vom ehemaligen Präsidenten Donald Trump veröffentlicht worden waren. Diejenigen, die darauf klickten, wurden jedoch mit einer bösartigen ISO-Datei infiziert, die zu sekundären Nutzlastinfektionen führen würde.

Sherrod DeGrippo, Senior Director, Threat Research and Detection bei Proofpoint, sagte, dass der Angreifer diesen Angriff direkt aus dem Spielbuch eines typischen cyberkriminellen Akteurs entnommen hat.

“Wir sehen absolut, dass diese legitimen E-Mail-Marketing-Dienste jeden Tag von Angreifern genutzt werden. Es ist nicht nur Constant Contact, es sind alle, und wir sehen auch, dass sie stark von typischen kriminellen Gruppen genutzt werden”, sagte DeGrippo. “Der Grund dafür, dass sie so gut genutzt werden, ist, dass der eigentliche Besitzer dieser Domains oft einen Authentifizierungsprozess beim Anbieter der Marketing-Plattform durchlaufen muss, um zu beweisen, dass er die Domain besitzt.” Aber dann wird der Domain-Besitzer später unwissentlich verletzt, und die Angreifer nutzen diese falsche Legitimität aus, erklärte sie.

DeGrippo spekulierte, dass Nobelium zu dieser neuen Taktik übergegangen sein könnte, weil “einige der Beute von SolarWinds nicht mehr den Wert hat, den sie vorher hatte.” Sie merkte an, dass APT-Gruppen zunehmend cyberkriminelle Verhaltensweisen übernehmen, zum Teil, weil sie einfach und schnell auszuführen sind, und auch, weil viele lokale Skript-Kiddies oder Cyber-Gang-Mitglieder in diese nationalstaatlichen Gruppen rekrutiert werden, wo sie weiterhin die Taktiken und Tricks anwenden, mit denen sie bereits vertraut sind. “Sie folgen absolut den Spielbüchern von Crimeware und das liegt zum großen Teil daran, dass einige dieser Personen vielleicht aus der Crimeware-Welt kommen”, sagte sie.

Um diesen Bedrohungen entgegenzuwirken, ist eine verantwortungsvolle Passwortverwaltung auf Seiten des Absenders oder des Massenversanddienstes ein Muss. Zu oft, so DeGrippo, sind Marketing-Dienste so eingerichtet, dass “jeder in einer Vertriebsgruppe das gleiche Passwort bekommt und die Marketing-Plattform nutzen kann, wie er will.” In Wirklichkeit “müssen sie dafür eine bessere Hygiene haben” und “sie müssen die Multi-Faktor-Authentifizierung einschalten, wenn die jeweilige Plattform dies zulässt”, sagte sie.

In der Tat, “unterschätzen Sie nicht die Auswirkungen, die ein Missbrauch Ihrer Drittanbieter-Konten auf Ihr Unternehmen haben kann”, sagte Schrader. “Behandeln Sie sie so, wie Sie Ihre eigene Infrastruktur behandeln.”

In der Zwischenzeit müssen die Marketing-Service-Provider selbst “ein wenig sorgfältiger sein, um sicherzustellen, dass sie nicht von Bedrohungsakteuren missbraucht werden”, fügte DeGrippo hinzu. Jorge Orchilles, CTO bei Scythe, stimmte dem zu und merkte an: “Unser aktuelles Sicherheitstraining lehrt die Benutzer, keine E-Mails von Domänen und Adressen zu öffnen, die sie nicht kennen. Die Verwendung von Constant Contact umgeht das, was wir den meisten Benutzern beigebracht haben. [Therefore,] Constant Contact muss sicherstellen, dass alle Benutzer/Accounts über eine Multi-Faktor-Authentifizierung und Sicherheitskontrollen verfügen, damit so etwas nicht noch einmal passiert.”

E-Mail-Empfänger hingegen sollten sichere E-Mail-Gateway-Netzwerkverteidigungen einsetzen und, wenn möglich, dieses Angebot mit Endpunkt-Erkennung und -Reaktion verstärken, sagte sie.

Schrader empfahl ebenfalls, einen “Zwiebelschicht-Ansatz für Sicherheitskontrollen zu etablieren, die sich gegenseitig als Backup überlappen. Prävention ist eher schwierig, wenn ein Unternehmen am Ende einer solchen bösartigen Kampagne steht, die vertrauenswürdige, aber kompromittierte Konten nutzt. Die Erkennungsmöglichkeiten gewinnen an Bedeutung, und entlang der Cyber-Kill-Chain wird es darum gehen, bösartige Veränderungen so früh wie möglich zu erkennen.”

Trotz der Verwendung eines vertrauenswürdigen Kontakts gab es verdächtige Aspekte in diesen E-Mails, die Mitarbeiter möglicherweise hätten erkennen können.

“Wenn man bedenkt, was in der Nachricht steht, könnte das … ein wichtiger Hinweis sein”, sagte Nikkel. “USAID hat mit Auslandshilfe zu tun, warum sollten sie also Nachrichten über Wahlbetrug versenden? Entzündliche Sprache wie diese ist ein Markenzeichen jeder Phishing-Kampagne.” Nikkel schlägt außerdem vor, dass Empfänger auch einen Blick auf die in E-Mail-Links eingebetteten URLs werfen. “Es gibt zwar Techniken, um Domains zu imitieren, aber typischerweise würde eine Organisation wie USAID oder ähnliches Links zu ihren bestehenden Domains oder Seiten in der E-Mail haben. Wenn Sie mit dem Mauszeiger über den Link fahren, erfahren Sie alles, was Sie wissen müssen, und wenn er nicht vertrauenswürdig aussieht, gehen Sie auf die eigentliche Unternehmensseite und finden Sie dort direkt, wonach Sie suchen.”

“Darüber hinaus könnte das Einrichten von Benutzerrechten, so dass nicht jeder ein ISO-Image mounten oder Programme installieren kann, oder das Vorhandensein von Sicherheitstools, die Anhänge entweder entfernen oder inspizieren können, ebenfalls potenziell gegen ähnliche Angriffe schützen”, fügte er hinzu.

Heute hat FireEye auf den Blogbeitrag von Microsoft reagiert und in einem E-Mail-Kommentar darauf hingewiesen, dass sein Threat Intelligence Team ebenfalls die gleichen Aktivitäten festgestellt hat.

“FireEye hat mehrere Wellen von verwandten Spear-Phishing-E-Mails verfolgt, die seit März 2021 verschickt wurden”, schrieb John Hultquist, Vice President of Analysis bei Mandiant Threat Intelligence. “Zusätzlich zu den USAID-Inhalten haben sie eine Vielzahl von Ködern eingesetzt, darunter diplomatische Noten und Einladungen von Botschaften. Alle diese Operationen konzentrierten sich auf Regierungen, Denkfabriken und verwandte Organisationen, die traditionell Ziel von [Russian Foreign Intelligence Service] SVR-Operationen.”

“Obwohl die SolarWinds-Aktivität durch ihre Heimlichkeit und Disziplin bemerkenswert war, waren laute, breit angelegte Spearphishing-Operationen einst die Visitenkarte der SVR-Operatoren, die oft laute Phishing-Kampagnen durchführten. Diese Operationen waren oft effektiv und verschafften unter anderem Zugang zu wichtigen Regierungsstellen. Und obwohl die Spear-Phishing-E-Mails schnell identifiziert werden konnten, gehen wir davon aus, dass alle Aktionen nach der Kompromittierung von diesen Akteuren sehr geschickt und heimlich durchgeführt wurden”, so Hultquist weiter. “Die jüngsten Aktivitäten scheinen gerade dann zugenommen zu haben, als die auf der Lieferkette basierenden Kompromittierungen zurückgingen. Angesichts der Unverfrorenheit dieses Vorfalls scheint der SVR nicht bereit zu sein, seine Cyberspionage-Aktivitäten zu drosseln, geschweige denn große Anstrengungen zu unternehmen, um neue Aktivitäten zu verbergen.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com