Perfektioniertes Spear-Phishing

Die Zielstrebigkeit der APT-Angreifer zeigt sich schon bei der Infektion. Hier würden sehr professionelle Spear-Phishing-Methoden angewendet, um Malware wie etwa Emotet zu verbreiten. Im von Kurth gezeigten Beispiel wurde einem Mitarbeiter in der betroffen Firma ein Mail mit dem gefährlichen Anhang zugeschickt, das wohl niemand so schnell als Hacking-Versuch entlarven kann.

So enthielt das Schreiben die Absenderadresse und Signatur eines wirklichen Kunden, war an den richtigen Mitarbeiter aus der Administration gerichtet und enthielt im Betreff sogar die richtige Rechnungsnummer. Durch die Ausführung des Makros im angehängten Word-Dokument wurde das Unternehmen mit Emotet verseucht.

Der Zugang zu dem nun verwundbaren Firmennetz wurde sodann im Darknet verkauft. Offenbar muss gemäss Kurth hier die Hackergruppe FIN6 zugeschlagen und den Zutritt erworben haben.

Die Profis der Gruppe holten nämlich in einer weiteren Phase zu einem ernsthaften Angriff auf die verwundbare Firma aus. Dabei wurde via Emotet das professionelle Angriffsframework Cobalt Strike nachgeladen. Dieses erlaubte es den Angreifern, sich im Netz des Opfers zu bewegen.

Schritt für Schritt wurde erst in dem verwendeten Citrix-Netz ein Client übernommen, danach alle Clients und die Server. Schlussendlich gelangten auch die Domain Controller des Unternehmens unter die Kontrolle der Angreifer. Von diesen aus wurde sodann über den Domain Account die Ransomware verteilt.