Locale

Schliessen

Unverbindliche Anfrage

*=Pflichtfelder

Wie Protforce Ihre Daten verarbeitet und welche Rechte Sie in diesem Zusammenhang haben, erfahren Sie hier

Schliessen

Rufen Sie uns an.

Wir beraten Sie gerne!

portrait

Jeremy James Hakelberg

Vertriebsleiter

Icon Phone +49 800 473 0000
Zum Kontakt
Logo

Kein Tag ohne Spam oder Phishing

Wie legitime Cloud Dienste von Kriminellen missbraucht werden

Hintergründe eines Phishing-Versuchs

17.07.2020

Lesezeit: <5 Minuten

Was wäre bloß ein Tag ohne Spam oder Phishing-Versuch? Heute hat mich eine E-Mail erreicht, die mich an eine Phishing-Kampagne aus dem letzten Jahr erinnert hat.

Den Angriffsversuch und die damit verbundenen Details möchte ich Ihnen im Folgenden näherbringen. Dabei beleuchten wir aktuelle Tricks und das Vorgehen von Angreifern, die Ihre sensiblen Daten zum Ziel haben.

Protforce IT Security Darius Ghassemieh

Darius Ghassemieh

Geschäftsführer

Erkannt durch den Spamfilter unseres Providers sind wir bei Protforce in den allermeisten Fällen vorgewarnt - und nutzen die Gelegenheit gerne, um Ihnen darüber zu berichten! Ziel des Phishing-Versuchs ist es an die Anmeldedaten von E-Mail Postfächern zu gelangen; nämlich genau an die Postfächer welche die Phishing-E-Mail erhalten haben.


Bild 0 Phishing E Mail in HTML Darstellung
Abbildung A.1: Phishing-E-Mail in HTML Darstellung.

Das obige Bild zeigt die Phishing-E-Mail in ihrer vollen Darstellungspracht mittels HTML – diese Ansicht sollten Sie allerdings nicht nutzen, da sie dazu führen kann, dass Angreifer vertrauenswürdige Designs nachbauen und Zielorte von Verknüpfungen verschleiern können. Um die technischen Details erfassen zu können sollten Sie sich daher stehts die Rohfassung der E-Mail anzeigen lassen, wie im nächsten Bild erkennbar.

Bild 1 Phishing E Mail in Textform Darstellung

Abbildung A.2: Phishing-E-Mail in Textform Darstellung.

Die Links in der E-Mail, die man als Empfänger anklicken soll, leiten allesamt auf folgende URL:

https://2892315232e342469ddd8529ecaed302[.]svc[.]dynamics[.]com/t/r/0PWKRpjWqZVPK49cdHnsJiAVurDvjSDD_XPmg6gVaE8#darius.ghassemieh@protforce.de:399[...]

Schon hier werden legitime Ressourcen von Microsoft verwendet: Die Domain „dynamics.com“ gehört zu Microsofts Dynamics365 Portfolio.

Beachten Sie übrigens an dieser Stelle den Absender der E-Mail: manager@ivmtech[.]co[.]uk

Die Domain „ivmtech.co.uk“ ist nicht etwa eine kompromittierte Domain oder gespooft, sondern tatsächlich von den Angreifern registriert worden – ein Blick auf den Whois Eintrag zeigt, dass dies erst vor 36 Tagen, am 10.06.2020 erfolgt ist:


Bild 2 WHOIS Eintrag der ersten Angreifer Domain

Abbildung A.3: WHOIS Eintrag der ersten Angreifer-Domain.

Die Angreifer schicken die E-Mail-Adresse des Opfers (in diesem Fall meine Protforce Adresse) in der URL als Parameter mit. Da dies nicht obfuskiert erfolgt ist dies für uns schnell nachvollziehbar. Wozu das Ganze gemacht wird, sieht man auf der Webseite, auf der man landet:

Bild 3 Darstellung der Webseite nach Klicken auf den Link in der E Mail

Abbildung A.4: Darstellung der Webseite nach Klicken auf den Link in der E-Mail.

Die Angreifer spiegeln die E-Mail-Adresse bzw. Domain nicht nur in der Anmeldemaske, sondern auch in der Kopfleiste. Selbst die Domain des Opfers wird als Überschrift missbraucht, um Vertrauen zu erwecken.

Nach der Eingabe und Bestätigung unseres Passworts findet ein POST Request statt:

Bild 4 POST Request an die Angreifer Domain mit eingegebenen Zugangsdaten

Abbildung A.5: POST Request an die Angreifer-Domain mit eingegebenen Zugangsdaten.

Der Host für diese Anfrage lautet opencloudhost.host – hier werden die erbeuteten Zugangsdaten höchstwahrscheinlich vom Angreifer eingesammelt, um diese für weiterführende Angriffe o.ä. zu verwenden. Ein interessantes Detail: Das eingegebene Passwort benötigt eine gewisse Länge und Komplexität, bevor es angenommen wird – jedoch wird das letzte „ungültige“ Passwort ebenfalls im Request mitgeschickt (sicher ist sicher, dachte sich wohl der Angreifer). Erkennbar durch den Parameter „p1=123123123…“ im Bild.
Die Domain wurde am 23.02.2020 registriert und verwendet Cloudflare – eine Technologie, die viele Cyberkriminelle nutzen, um sich und ihre Systeme zu schützen.

Bild 5 Whois Eintrag der zweiten Angreifer Domain

Abbildung A.6: Whois Eintrag der zweiten Angreifer-Domain.

Nach dem Abschicken unserer Daten erfolgt eine Weiterleitung auf diesen Host:

https://nuxcol-secondary[.]z29[.]web[.]core[.]windows[.]net/?page2=darius.ghassemieh@protforce.de&hxc=ui

Die Domain sollte dem ein oder anderem bekannt vorkommen: Windows.net gehört zu Microsoft und stellt eine Cloudplattform zum Hosten von Webapplikationen und -diensten dar – als Azure Blob Storage wird er derweil seit mindestens Anfang 2019 für Angriffe missbraucht. Die Vertrauenswürdigkeit der Microsoft Domain machen sich die Angreifer zunutze, um Legitimität vorzutäuschen.

Bild 6 Ansicht nach erfolgreichem Abschicken unserer Anmeldedaten

Abbildung A.7: Ansicht nach erfolgreichem Abschicken unserer Anmeldedaten.

Die Angreifer leiten uns final auf die Domain weiter, die in unserer E-Mail-Adresse steht – also in meinem Fall auf protforce.de.

Wir haben im Quellcode der Webseite des Angreifers außerdem die Domain webmail[.]tsast[.]mn entdeckt, welche Verwendung findet, wenn man in der Kopfleiste auf „Contacts“ oder „Settings“ klickt. Diese Verknüpfung ist allerdings fehlerhaft implementiert, sodass man eine „404 – Not Found“ Meldung erhält, sobald man diese Einträge anwählt.

Hinter webmail[.]tsast[.]mn verbirgt sich eine valide Webapplikation für E-Mails (Roundcube) eines mongolischen Unternehmens – unter Umständen wurde diese Applikation von den Angreifern in der Vergangenheit kompromittiert und für schädliche Zwecke verwendet. An einigen Stellen haben die Angreifer versucht Javascript-Code zu verschleiern, indem dieser kodiert wurde – allerdings nur auf eine recht einfache Art und Weise, die hier keiner Erwähnung wert ist.

Die Problematik liegt jedoch auch bei Microsoft selbst. Die Fälle sind hinreichend bekannt, jedoch scheint sich noch kein adäquates Mittel gegen den Zustand gefunden zu haben – eine automatisierte Erkennung solcher Webapplikationen innerhalb der Microsoft Cloud halte ich für schwierig umsetzbar; im Grunde machen diese Applikationen nichts, außer Daten an andere Server zu schicken. Der Kontext ihrer Nutzung in Kombination mit einer Phishing-E-Mail ist erst das, was einen Angriff definieren würde. Bloß wie soll Microsoft von diesen Angriffen erfahren, um eine schädliche Nutzung ihrer Dienste erkennen zu können? Das Melden solcher Vorfälle bleibt bis auf Weiteres unsere einzige Lösung.

Bislang erkennen lediglich 6 Endpoint Protection Anbieter die betroffene Seite, obwohl diese Kampagne mindestens seit Anfang Juli 2020 aktiv ist: Der erste Hinweis bei VirusTotal deutet auf den 03.07.2020 hin.

Folgende Indicators Of Compromise (IOCs) sind nutzbar:

 - ivmtech.co.uk
 - opencloudhost.host
 - nuxcol-secondary.z29.web.core.windows.net
 - 2892315232e342469ddd8529ecaed302.svc.dynamics.com
 - 69743272410009913218.us-south.cf.appdomain.cloud

Referenzen:

https://www.bleepingcomputer.com/news/security/outlook-and-microsoft-account-phishing-emails-utilize-azure-blob-storage/

https://malware-research.org/simple-rule-to-protect-against-spoofed-windows-net-phishing-attacks/

https://www.virustotal.com/gui/url/7a7bca15f25b45226c930d08314b56c50d631ffdacd43a1fe15abf2636f5bbf7/detection