Den Ausgangspunkt der Analyse bildet eine Kampagne, die ANY.RUN als gefährlich einstuft und die gezielt US-Organisationen anspricht. Betroffen sind laut den Forschern vor allem Branchen mit hohem Risiko: Bildung, Banken, Behörden, Technologie und Gesundheitswesen. Der Angriff beginnt scheinbar harmlos mit einer gefälschten Einladung, einer CAPTCHA-Prüfung und einer Seite im Stil einer Veranstaltung.
Hinter diesem Ablauf verbergen sich nach Angaben von ANY.RUN drei mögliche Ziele: der Diebstahl von Zugangsdaten, das Abfangen von Einmalpasswörtern (OTP) sowie die Auslieferung legitimer RMM-Werkzeuge, die für Fernzugriff missbraucht werden können.
In der interaktiven Sandbox von ANY.RUN wurde die komplette Angriffskette innerhalb von 40 Sekunden sichtbar: Weiterleitungen, gefälschte Seiten, Aufforderungen zur Eingabe von Zugangsdaten, Downloads sowie Hinweise auf möglichen Fernzugriff. Damit liefert die Analyse nach Darstellung des Anbieters frühe Belege für die tatsächliche Gefährdung, noch bevor sich Anzeichen für missbrauchte Konten oder kompromittierte Endgeräte zeigen.
Die Sandbox legte zudem wiederkehrende Muster über mehrere Phishing-Seiten hinweg offen. Dazu zählen Anfragen an /favicon.ico und /blocked.html sowie Ressourcen, die unter /Image/*.png abgelegt sind. Solche technischen Merkmale sind wertvoll, weil sich darüber verwandte Domains, Seiten und Infrastruktur verknüpfen lassen, die möglicherweise zur selben Kampagne gehören.
Auf dieser Grundlage lässt sich laut ANY.RUN beurteilen, ob es sich um einen isolierten Vorfall oder um Teil einer größeren Kampagne handelt – und damit, wie weit die Reaktion reichen sollte. Die verhaltensbasierten Indikatoren (IOCs) und der Kampagnenkontext können nach Angaben des Anbieters in bestehende Sicherheitswerkzeuge wie SIEM, TIP, SOAR, NDR und Firewalls übernommen werden.
ANY.RUN beziffert die Datenbasis seiner Threat-Intelligence-Lösungen auf reale Angriffsanalysen aus 15.000 Organisationen und 600.000 Sicherheitsfachleuten. Daraus lassen sich den Forschern zufolge verwandte Domains, wiederkehrende URL-Pfade, verdächtige Anfragen, heruntergeladene Dateien oder Hinweise auf RMM-Aktivität aufspüren, die mit derselben Kampagne in Zusammenhang stehen.
