Die Sicherheitsfirma Specops Software, eine Tochter von Outpost24, hat Details über einen hochkomplexen Phishing-Angriff offengelegt, der gezielt gegen einen Manager in der Führungsetage gerichtet war. Der Angriff wird mit dem Phishing-as-a-Service-Kit namens Kratos in Verbindung gebracht und demonstriert beeindruckende technische Raffinesse.
Die Attacke begann mit einer betrügerischen E-Mail, die sich als Nachricht von JP Morgan ausgab und scheinbar Teil eines laufenden E-Mail-Austauschs war. Dies sollte das Vertrauen des Empfängers erhöhen. Die Angreifer verwendeten zwei DKIM-Signaturen (DomainKeys Identified Mail), um sicherzustellen, dass die E-Mail DMARC-Authentifizierung passieren würde und vertrauenswürdig wirkte.
Besonders raffiniert war die Nutzung legitimer Cloud-Services als Sprungbretter. Der erste Link in der E-Mail verwies auf die vertrauenswürdige Cisco-Domain secure-web.cisco.com, einen Service zur URL-Umschreibung in E-Mails. Anschließend leiteten die Angreifer das Opfer über die E-Mail-API-Plattform Nylas weiter. Diese Verkettung von Redirects durch etablierte Services erhöht die Wahrscheinlichkeit erheblich, dass der Link Sicherheitsfilter und Reputationschecks passiert.
Der nächste Schritt führte zum Server einer indischen Entwicklungsfirma, gefolgt von einer Umleitung zu einer Domain, die ursprünglich 2017 von einer chinesischen Entität registriert worden war. Aufschlussreich ist der Timeline: Das TLS-Zertifikat dieser Domain verfiel am 6. März, die DNS-Einträge wurden kurz darauf gelöscht, und die Domain wurde am 12. März neu registriert – mit mehreren neuen TLS-Zertifikaten. Dies deutet darauf hin, dass die Domain speziell für diese Kampagne reaktiviert wurde.
Im nächsten Schritt leiteten die Angreifer zum Phishing-Server weiter, der hinter Cloudflare-Infrastruktur verborgen war – ein gängiger Trick zur Verschleierung des Ursprungsservers. Dem Opfer wurde dann eine Browser-Validierungsprüfung vorgelegt, vermutlich um automatisierte Sicherheitsanalysen zu verhindern.
Abschließend präsentierten die Angreifer eine täuschend echte Phishing-Seite zur Harvesting von Microsoft-365-Anmeldedaten. Die Seite enthielt eine gefälschte Outlook-Ladeanimation und validierte sogar, ob die eingegebene Adresse ein gültiges E-Mail-Format war. Im finalen Schritt versuchte die Seite, sich mit den erbeuteten Credentials anzumelden, um deren Gültigkeit zu überprüfen.
Specops hat keine Attribution zu einer spezifischen Bedrohungsgruppe vorgenommen, stellte aber fest, dass die Taktiken mit denen iranischer Bedrohungsakteure übereinstimmen, die kürzlich verschiedene US-amerikanische Entitäten ins Visier genommen haben. Allerdings hätten auch andere Hackergruppen ähnliche Methoden angewendet, weshalb eine sichere Attribution unmöglich ist.