Cyberkriminelle kompensieren Makro-Aus mit dynamischen Angriffstechniken
Die Cyberbedrohungslandschaft für Unternehmen aller Größenordnungen hat im letzten Jahr eine massive Veränderung erlebt, die maßgeblich von Microsofts Entscheidung beeinflusst wurde, Makros standardmäßig zu blockieren. Diese Veränderung hat dazu geführt, dass alle Akteure in der cyberkriminellen Nahrungskette, angefangen bei unerfahrenen Hackern bis hin zu den erfahrensten Cyberkriminellen, die komplexe Ransomware-Angriffe durchführen, gezwungen sind, ihre Arbeitsweise anzupassen.
Früher waren Makros ein beliebtes Werkzeug für Cyberkriminelle, um schädlichen Code in Office-Dokumenten zu verbergen und so Zugang zu den Systemen ihrer Opfer zu erlangen. Diese Makro-basierten Angriffe waren oft erfolgreich, da viele Benutzer nicht ausreichend über die damit verbundenen Risiken informiert waren und Makros standardmäßig aktiviert waren. Die Blockierung von Makros durch Microsoft bedeutet jedoch einen Wendepunkt in der Verteidigung gegen solche Angriffe.
Die neuesten Erkenntnisse der Security-Forscher von Proofpoint liefern wertvolle Einblicke in das sich verändernde Verhalten der Cyberkriminellen. Die Angreifer sind nun verstärkt darum bemüht, ihre Malware-Payloads über verschiedene Wege zu verbreiten, darunter auch veraltete Dateitypen, unerwartete Angriffsketten und eine Vielzahl von Techniken, einschließlich Ransomware.
Die Forscher von Proofpoint haben dabei folgende Beobachtungen gemacht:
- Die Cyberkriminellen testen weiterhin verschiedene Ansätze, um die effektivste Methode zu finden, mit der sie ein Ziel über E-Mails kompromittieren können. Es gibt jedoch keine einheitliche Methode, die von allen Akteuren im Cybercrime-Ökosystem angewandt wird.
- Sobald eine Gruppe von Cyberkriminellen eine neue Technik verwendet, wird diese in den darauffolgenden Wochen oder Monaten auch von anderen Tätergruppen übernommen.
- Besonders ausgefuchste Cybercrime-Akteure verfügen über die Zeit und die Ressourcen, um neue Techniken zur Verbreitung von Malware zu entwickeln und zu testen.
Ein gutes Beispiel für diese Variabilität in den Vorgehensweisen der Täter ist die cyberkriminelle Gruppe TA570, auch bekannt als „Qbot“. Die Security-Forscher haben beobachtet, wie diese Gruppe ihre Bemühungen zur Verbreitung von Malware variiert hat. Ursprünglich, vor Juni 2022, verließ sich TA570 hauptsächlich auf VBA-Makros und XL4-Makros, um ihre Malware-Payloads zu verbreiten, hauptsächlich Qbot und IcedID. Im Juni 2022 stellten die Forscher von Proofpoint erste Veränderungen fest. Die Gruppe begann, mehrere neue Taktiken, Techniken und Verfahren (TTPs) einzusetzen, insbesondere nutzten sie erstmals HTML Smuggling.
In den folgenden Monaten griff TA570 auf immer neue und unterschiedliche TTPs zurück. In einem einzigen Monat wurden bis zu sechs verschiedene und einzigartige Angriffsketten verwendet, wobei eine Vielzahl von Dateitypen zum Einsatz kam. Diese Dateitypen umfassten unter anderem PDF, LNK, virtuelle Festplatten (VHD), ISO, OneNote, Windows Script File (WSF) und XLLs.
Diese Erkenntnisse verdeutlichen, wie flexibel und anpassungsfähig Cyberkriminelle sein können, um ihre schädlichen Aktivitäten voranzutreiben. Unternehmen müssen daher stets auf dem neuesten Stand der Bedrohungslandschaft bleiben und ihre Sicherheitsmaßnahmen entsprechend anpassen, um sich effektiv vor den sich ständig weiterentwickelnden Taktiken der Angreifer zu schützen.