APT-Gruppen wenden eine neue Phishing-Methode an. Werden Cyberkriminelle nachsteigen?

APT-Gruppen aus Russland, VR China und Indien nach sich ziehen im zweiten und dritten Quartal dieses Jahres eine neue und reibungslos zu implementierende Phishing-Methode eingeführt, von jener Forscher sagen, dass sie zweitrangig c/o Cyberkriminellen weit verbreitet sein wird.

Dasjenige Proofpoint-Forschungsteam beobachtete von Februar 2021 solange bis vierter Monat des Jahres 2021 eine zunehmende Akzeptierung jener sogenannten RTF-(Rich-Text-Format)-Vorlagen-Injektionstechnik unter APT-Gruppen. Die Taktik ist zwar nicht unbedingt neu, doch andere Sicherheitsforscher nach sich ziehen sie schon im Januar entdeckt — Die heutigen Erkenntnisse markieren verdongeln erneuten Steigerung jener Angriffstechnik.

Die RTF-Vorlageninjektion ist eine Technologie, c/o jener eine RTF-File mit Köderinhalt geändert werden kann, um Inhalt abzurufen, jener c/o einer externen URL gehostet wird, wenn die RTF-File geöffnet wird. Durch dies Ändern jener Dokumentformatierungseigenschaften einer RTF-File kann jener Angreifer solche mit Waffengewalt hinauf Remote-Inhalte zupacken, während er eine URL-Ressource anstelle eines zugänglichen Dateiziels angibt, schreiben Forscher in einem Internet-Tagebuch.

In jener Vergangenheit sei die Verwendung eingebetteter bösartiger RTF-Objekte wie Vektor z. Hd. die Verbreitung von Schadsoftware mithilfe von RTFs gut dokumentiert, stellten sie verspannt. Welche Technologie ist einfacher und in gewisser Weise effektiver z. Hd. die Zurverfügungstellung von Remote-Nutzlasten im Vergleich zu früher dokumentierten Methoden.

„RTFs sind von Natur aus extrem flexible Dateitypen, die in ihrer Dateiarchitektur viele Objekte und Zielfelder enthalten, in denen ein Bedrohungsakteur eine bösartige URL oder File speichern kann, um eine Remote-Nutzlast abzurufen“, erklärt Sherrod DeGrippo, Vice President of Threat Research & Detection c/o Proofpoint.

Darüber hinaus speichern RTF-Dateien ihre Eigenschaften wie Klartextzeichenfolgen intrinsisch jener Bytes einer File, um die Dateiformatierung in allen Dokumenteditoren beizubehalten, fügt sie hinzu.

“Dies bedeutet, dass die Waffenisierung einer File so reibungslos ist wie dies Erstellen einer Lockdatei in einem Dokumenteditor und dies Öffnen Ihres Hex-Editors und dies Ersetzen bestimmter Dateibytes durch die Bytes, die ein bösartiges URL-Ziel darstellen”, sagt DeGrippo.

In ihrem Meldung sagen Forscher, dass es “trivial” ist, die Bytes einer RTF-File zu ändern, um ein Vorlagensteuerwortziel einschließlich einer URL-Ressource einzufügen. Dies würde es jener RTF-File zuteil werden lassen, eine URL-Ressource wie Ziel abzurufen, anstatt eine File, wie es die RTF-Struktur beabsichtigt. Sie weisen darauf hin, dass solche Methode in .rtf- und .doc.rtf-Dateien verwendet werden kann, um dies erfolgreiche Abrufen von Remote-Payloads zu zuteil werden lassen.

Die von Proofpoint analysierten Warenmuster-RTF-Vorlagen-Injektionsdateien weisen derzeit eine geringere Erkennungsrate c/o öffentlichen Antiviren-Engines hinauf wie die bekannte Office-basierte Vorlageninjektionstechnik, stellt DeGrippo verspannt.

Wenn sie den Phishing-Begleitperson öffnen, wird einem Todesopfer eines dieser Angriffe von kurzer Dauer die Meldung “Server wird kontaktiert, um Informationen zu erhalten” angezeigt, die es c/o einer normalen Word- oder RTF-File nicht sehen würde. Wenn die Kontrollwortgruppe nicht richtig in Klammern gesetzt wurde, kann eine Fehlermeldung erscheinen, die jedoch nicht in allen Fällen jener Sachverhalt ist.

Ein neuer Trend unter APT-Gruppen
Proofpoint hat laut DeGrippo drei Hauptvarianten dieser Taktik in freier Wildbahn c/o APT-Gruppen beobachtet, doch die drei Gruppen, die sie verwenden, misshandeln die Kernfunktionalität hinauf die gleiche Weise.

Solange bis zum 8. Juli 2021 wurden RTF-Dateien mit Vorlageninjektion entdeckt, die dem DoNot-Team jener APT-Schar zuzuordnen sind, dies im Verdächtigung steht, mit indischen Staatsinteressen in Einklang zu stillstehen 29 und gezielte Organisationen mit Verbindungen zur malaysischen Tiefsee-Energieexploration, stellten Forscher verspannt. Es sei denn davon nach sich ziehen sie keine Informationen zu Targeting-Mustern, die sie teilen können.

Später beobachteten sie, wie die mit dem russischen Föderalen Sicherheitsdienst (FSB) verbundene APT Gamaredon c/o Angriffen mit Dateiködern jener ukrainischen Regierung am 5. zehnter Monat des Jahres 2021 RTF-Vorlagen-Injektionsdateien einsetzte. Welche Technologie spricht APT-Gruppen an, weil sie relativ reibungslos ist und heimlich.

“APT-Akteure werden trotz jener Bezeichnung ‘erweitert’, wenn sie ihre Arbeit gut zeugen, die geringsten Ressourcen und Kenntnisse aufwenden, die erforderlich sind, um Zugang zu Organisationen zu erhalten”, sagt DeGrippo. Indem wird verhindert, dass die Angreifer ihre ausgeklügelten Tools preisgeben, wenn sie erwischt werden, welches zu größeren Betriebsstörungen im Hinblick hinauf den Substitution technischer Fähigkeiten münden würde.

Jener Vorteil jener RTF-Vorlageninjektion liegt sowohl in jener einfachen Waffenisierung wie zweitrangig in jener Tatsache, dass viele Organisationen RTF-Dateien nicht standardmäßig blockieren, fährt sie fort. „Sie in Besitz sein von zum typischen Geschäftsbetrieb“, fügt sie hinzu.

Proofpoint ist jener These, dass solche Technologie zuvor in begrenztem Umfang von Crimeware-Angreifern verwendet wurde. Sie sagen jedoch, dass die einfache Bewaffnung wahrscheinlich Angreifer mit weniger Erleben anziehen und letztendlich Instanzen dieser Technologie in die Wildnis einbringen wird. Es ist möglich, dass Angreifer RTF-Vorlagen in ihr vorhandenes Phishing-Toolkit integrieren, um ihren Klopper im laufenden Fabrik zu steigern, sagt DeGrippo.

Kampf gegen Phish
In einem neuen Meldung charakterisieren Forrester-Analysten die Merkmale erfolgreicher Phishing-Angriffe und spendieren ihre Ratschläge z. Hd. Unternehmen, die ihre Abwehrstrategien verbessern möchten.

„Selbst geschulte Cybersicherheitsprofis können Todesopfer von gut gestalteten Phishing-E-Mails werden.

Ihre Empfehlungen zusammenfassen die Implementierung technischer Kontrollen wie E-Mail-Dienst-Inhaltsfilterung und E-Mail-Dienst-Authentifizierung zum Schutzmechanismus jener Benutzer. Analysten empfehlen außerdem, fortlaufende Schulungen zum Sicherheitsbewusstsein anzubieten, um den Benutzern nicht nur beizubringen, verdächtige E-Mails zu wiedererkennen, sondern zweitrangig, wie sie mit ihnen umgehen sollen, nachdem sie entdeckt wurden. Mitwirkender regelmäßig testen und deren Leistung messen, raten sie.

Obschon ist es klug, technisches menschliches Versagen zu planen. Manche E-Mails werden an Ihren Abwehrmechanismen vorbeischauen; Sie können die Auswirkungen eines Angriffs mit Browser-Isolationstechnologie, Multifaktor-Authentifizierung und einem regelmäßig überprüften Vorfallreaktionsplan begrenzen.