Cyberkriminelle geben sich als IT-Support aus und infizieren über gefälschte Phishing-E-Mails und Telefonanrufe Unternehmensnetzwerke mit dem Havoc C2-Framework zur Vorbereitung von Datendiebstahl oder Ransomware-Angriffen.
Sicherheitsforscher haben eine neue Angriffskampagne dokumentiert, bei der Bedrohungsakteure als vermeintlicher IT-Support agieren, um das Havoc-Kommando- und Kontrollsystem als Vorstufe zu Datenabfluss oder Ransomware-Attacken einzuschleusen.
Die von Huntress bei fünf Partnerorganisationen identifizierten Angriffe begannen mit Spam-E-Mails, gefolgt von Telefonanrufen vermeintlicher IT-Mitarbeiter, die eine mehrstufige Malware-Lieferkette auslösen. “In einer Organisation gelang es den Angreifern, innerhalb von elf Stunden von der initialen Kompromittierung auf neun zusätzliche Systeme vorzudringen. Sie setzten dabei maßgeschneiderte Havoc-Demon-Payloads und legitime Remote-Monitoring-Tools ein, um Persistenz zu gewährleisten. Die Geschwindigkeit der lateralen Bewegung deutet stark darauf hin, dass das Ziel Datenabfluss, Ransomware oder beides war”, berichten die Huntress-Forscher Michael Tigges, Anna Pham und Bryan Masters.
Die Vorgehensweise ähnelt E-Mail-Bomben und Microsoft-Teams-Phishing-Attacken, die früher mit der Black-Basta-Ransomware-Operation verbunden waren. Obwohl die Cyberkriminellen nach der Veröffentlichung ihrer internen Chat-Protokolle verstummt zu sein scheinen, lässt sich ihre Taktik in anderen Angriffsszenarien nachweisen. Entweder haben ehemalige Black-Basta-Affiliates sich anderen Ransomware-Operationen angeschlossen, oder konkurrierende Akteure haben deren Strategie übernommen.
Der Angriffsablauf beginnt mit einer Spam-Kampagne, die das E-Mail-Postfach mit Junk-Mails überschwemmt. Dann kontaktieren die Angreifer die Empfänger als vermeintliche IT-Supporter und überreden sie, Remote-Zugriff über Quick Assist oder Tools wie AnyDesk zu gewähren. Mit diesem Zugriff öffnet der Angreifer einen Web-Browser und navigiert zu einer gefälschten Seite auf AWS-Servern, die Microsoft imitiert und das Opfer zur Eingabe der E-Mail-Adresse auffordert – angeblich für ein Update der Outlook-Spam-Filter.
Ein Klick auf “Update rules configuration” startet ein Skript, das ein Overlay mit einer Passwort-Aufforderung anzeigt. Dies ermöglicht dem Angreifer, Anmeldedaten zu sammeln und verleiht der Aktion gleichzeitig Authentizität.
Die Attacke nutzt auch einen vermeintlichen Anti-Spam-Patch, der einen legitimen Binärprozess wie “ADNotificationManager.exe” ausführt, um eine bösartige DLL zu laden. Diese Malware nutzt Defense-Evasion-Techniken und exekutiert das Havoc-Shellcode-Payload durch einen Demon-Agent.
Zumindest eine der identifizierten DLLs (“vcruntime140_1.dll”) setzt Control-Flow-Obfuskation, zeitbasierte Verzögerungsschleifen sowie Techniken wie Hell’s Gate und Halo’s Gate ein, um ntdll.dll-Funktionen zu hooking und EDR-Lösungen zu umgehen.
Nach der erfolgreichen Havoc-Demon-Platzierung begannen die Angreifer mit lateraler Bewegung im Netzwerk. Während die anfängliche Social-Engineering- und Malware-Lieferphase ausgefeilte Techniken offenbarte, waren die darauffolgenden manuellen Aktivitäten relativ einfach strukturiert.
Die Angreifer erstellten geplante Tasks, um den Havoc-Demon bei jedem Neustart auszuführen, gewährleisteten damit persistenten Remote-Zugriff und setzten teilweise legitime RMM-Tools wie Level RMM und XEOX ein, um ihre Persistenzmechanismen zu diversifizieren.
Wichtige Erkenntnisse dieser Kampagne zeigen, dass Angreifer gerne als IT-Personal auftreten und private Telefonnummern anrufen, dass Defense-Evasion-Techniken nicht mehr nur Zielziele großer Unternehmen oder staatlicher Operationen sind, und dass Malware gezielt angepasst wird, um Signaturerkennungen zu umgehen. Besonders bemerkenswert ist die Geschwindigkeit, mit der Angreifer von der initialen Kompromittierung zu lateraler Bewegung übergehen, sowie die vielfältigen Methoden zur Aufrecherhaltung der Persistenz.
Was als Anruf vom “IT-Support” beginnt, endet mit einem vollständig kompromittierten Netzwerk – modifizierte Havoc-Demons auf mehreren Systemen und legitime RMM-Tools als Backup-Persistenzmechanismus. Diese Kampagne zeigt, wie moderne Bedrohungsakteure Raffinesse in jeder Phase einweben: Social-Engineering beim Eindringen, DLL-Sideloading zur Unsichtbarkeit und diversifizierte Persistenz zur Überwindung von Abwehrmaßnahmen.
Quelle: The Hacker News