Der Angriff beginnt mit einer Spam-Welle, die das Postfach des Opfers mit Müll-Mails verstopft. Im nächsten Schritt melden sich die Täter telefonisch als IT-Support und bringen die Betroffenen dazu, ihnen Fernzugriff auf ihren Rechner zu gewähren – entweder über eine Quick-Assist-Sitzung oder durch die Installation von Werkzeugen wie AnyDesk, angeblich zur Behebung des Problems.
Ist der Zugriff hergestellt, öffnen die Angreifer den Browser und steuern eine gefälschte Landingpage an, die bei Amazon Web Services (AWS) gehostet wird und Microsoft imitiert. Das Opfer wird aufgefordert, seine E-Mail-Adresse einzugeben, um vermeintlich das System zur Aktualisierung der Anti-Spam-Regeln von Outlook zu erreichen. Ein Klick auf die Schaltfläche zur Aktualisierung der Regelkonfiguration löst ein Skript aus, das eine Eingabemaske für das Passwort einblendet.
Nach Angaben von Huntress erfüllt dieser Mechanismus zwei Zwecke: Er erlaubt das Abgreifen von Zugangsdaten, die zusammen mit der E-Mail-Adresse Zugang zum Kontrollpanel verschaffen, und verleiht dem Vorgang zugleich einen glaubwürdigen Anstrich.
Der Angriff stützt sich außerdem auf das Herunterladen eines angeblichen Anti-Spam-Patches. Dieser führt zur Ausführung einer legitimen Datei namens “ADNotificationManager.exe” (alternativ “DLPUserAgent.exe” oder “Werfault.exe”), über die per Sideloading eine schädliche DLL nachgeladen wird. Die DLL umgeht Schutzmechanismen und startet die Havoc-Shellcode-Payload, indem sie einen Thread mit dem Demon-Agenten erzeugt. Mindestens eine der identifizierten DLLs (“vcruntime140_1.dll”) nutzt zusätzliche Tricks gegen die Erkennung durch Sicherheitssoftware: Verschleierung des Kontrollflusses, zeitbasierte Verzögerungsschleifen sowie die Techniken Hell’s Gate und Halo’s Gate, um Funktionen der ntdll.dll abzufangen und EDR-Lösungen zu umgehen.
Nach dem erfolgreichen Aufsetzen des Havoc-Demon auf dem ersten Host begannen die Täter mit der seitlichen Ausbreitung im Netzwerk. Während die Social-Engineering- und Auslieferungsphase einige bemerkenswerte Techniken zeigte, sei die anschließende Tastaturaktivität laut den Forschern vergleichsweise unkompliziert gewesen. Dazu zählt das Anlegen geplanter Aufgaben, die die Havoc-Demon-Payload bei jedem Neustart der infizierten Endgeräte starten und so dauerhaften Fernzugriff sichern. Auf einigen kompromittierten Hosts setzten die Angreifer statt Havoc legitime Fernwartungswerkzeuge wie Level RMM und XEOX ein und diversifizierten damit ihre Persistenzmechanismen.
Zur möglichen Urheberschaft nennt Huntress zwei Szenarien. Black Basta sei nach der Veröffentlichung interner Chatprotokolle im vergangenen Jahr verstummt; das fortbestehende Vorgehensmuster lege nahe, dass entweder ehemalige Black-Basta-Partner zu anderen Ransomware-Operationen gewechselt sind und von dort aus neue Angriffe fahren, oder dass konkurrierende Akteure dieselbe Strategie übernommen haben, um per Social Engineering einen Erstzugang zu erlangen.
Was als Anruf des vermeintlichen IT-Supports beginne, ende mit einer vollständig kompromittierten Netzwerkumgebung – verteilten, modifizierten Havoc-Demons und zweckentfremdeten Fernwartungswerkzeugen als Ausweich-Persistenz, so das Fazit von Huntress.
