Social-Engineering-Kampagne von Storm-1811

Das Cybersicherheitsunternehmen Rapid7 berichtete am 10. Mai 2024 von einer Social-Engineering-Kampagne einer Gruppierung, die im Nachgang Ransomware von Black Basta verwende. Laut einem Blog-Beitrag von Microsoft Threat Intelligence vom 15. Mai 2024 stecke die Gruppe Storm-1811 dahinter. 

Masche der Kriminellen

Die Kampagne laufe seit Mitte April 2024 und zwar nach folgendem Muster:

Die E-Mail-Konten von MDR-Lösung-Nutzenden werden zunächst mit Phishing-Mails überflutet. Daraufhin melden sich angebliche Mitarbeitende des MDR-Dienstleisters oder aus der IT-Abteilung des Unternehmens der potenziellen Opfer und bieten Unterstützung an. Die Kriminellen fordern die Opfer auf, Remote-Desktop-Software wie AnyDesk oder Microsoft QuickAssist herunterzuladen und zu starten. 

Die Angreifenden verbinden sich über diese Programme mit den Rechnern der Nutzenden und implementieren Schadsoftware, unter anderem auch Cobalt Strike Beacons. Hierüber sollen zunächst Zugangsdaten der Opfer erbeutet werden. Wenn die Rechner kompromittiert sind und die Kriminellen uneingeschränkten Zugriff haben, installieren sie weitere maliziöse Programme in den Netzwerken der Betroffenen wie Software für Remote Access über Secure Shell (SSH), Monitoring-Werkzeuge wie ScreenConnect oder Trojaner wie den Remote Access Trojaner (RAT) NetSupport.

Storm-1811 koordiniert die Angriffe sehr gezielt und die Social-Engineering-Masche weist ein hohes Maß an krimineller Raffinesse auf.  Das technische Vorgehen scheint äußerst ausgeklügelt, zumal die Kriminellen Techniken wie DLL-Sideloading und SSH-Tunnelung einsetzen. Nutzende sollten daher sehr wachsam sein.

Rapid7 und Microsoft Threat Intelligence stellen Kompromittierungsindikatoren (Indicators of Compromise [IoC]), Mitigationsmaßnahmen und ausführliche Vorfallbeschreibungen zur Verfügung. Die Beiträge sind unten verlinkt. Weiter hat die CSBW im Februar 2024 über ein ähnliches Vorgehen von Kriminellen berichtet. Den Link zum Beitrag finden Sie folgend: 

Um sich vor Social-Engineering-Kampagnen zu schützen, beachten Sie die folgenden Handlungsempfehlungen:

• Implementieren Sie fortschrittliche Filtermechanismen, um Spam-Mails effektiver zu blockieren.
• Nutzen Sie Allow-Listing, um nur genehmigte Remote-Überwachungstools auszuführen. 
• Blockieren Sie unerwünschte Anwendungen wie AnyDesk oder Microsoft QuickAssist.
• Implementieren Sie fortschrittliche Bedrohungserkennungssysteme wie InsightIDR, um verdächtige Aktivitäten frühzeitig zu erkennen und zu verhindern.
• Stellen Sie sicher, dass nur autorisierte Benutzende Zugriff auf kritische Systeme haben, und prüfen Sie regelmäßig die Berechtigungen.
• Sensibilisieren Sie Ihre Mitarbeitenden für die Gefahren von Social Engineering und schulen Sie diese im Erkennen und Melden verdächtiger Aktivitäten.