Der eigentliche Trick des Angriffs lag im Ketten-Aufbau über mehrere legitime und kompromittierte Stationen hinweg. In der E-Mail verwies ein als „Dokument prüfen" getarnter Link zunächst auf die echte Cisco-Domain secure-web.cisco.com, die üblicherweise dazu dient, URLs in E-Mails nach erfolgter Cisco-Prüfung umzuschreiben. Weil der Link die Validierung durch Ciscos Secure Email Gateway bestand, lag die Weiterleitungs-URL auf Ciscos eigener Infrastruktur — ein Umstand, der half, Erkennungssysteme zu unterlaufen.
Als nächste Station folgte eine Weiterleitung auf die legitime E-Mail-API-Plattform Nylas, die laut Specops vermutlich dafür sorgte, dass der Phishing-Link über die Cisco-Secure-Web-Infrastruktur lief. „Durch das Verketten von Weiterleitungen über legitime Dienste wie Cisco und Nylas erhöhen die Angreifer die Wahrscheinlichkeit, dass der Link die Sicherheitsfilter und Reputationsprüfungen passiert. Diese Domains genießen weithin Vertrauen und tauchen häufig im legitimen Datenverkehr auf, was automatisiertes Blockieren erschwert", erläutert Specops.
Danach wurde das Ziel auf eine Subdomain der Website eines legitimen Entwicklungsunternehmens aus Indien geleitet und anschließend auf eine Domain, die ursprünglich 2017 von einer chinesischen Stelle registriert worden war. Deren früheres TLS-Zertifikat lief am 6. März aus, die zugehörigen DNS-Einträge wurden kurz darauf freigegeben, und am 12. März wurde die Domain neu registriert — am selben Tag stellte man mehrere neue TLS-Zertifikate für sie aus. „Das zeitliche Muster legt stark nahe, dass die Domain gezielt für diese Kampagne erneut beschafft und umgewidmet wurde", so Specops.
Eine weitere Weiterleitung führte schließlich zu einer Phishing-Infrastruktur, die hinter Cloudflare betrieben wurde, um den Ursprungsserver zu verschleiern. An dieser Stelle bekam das Opfer eine Browser-Validierungsprüfung vorgesetzt, die vermutlich eine Sicherheitsanalyse verhindern sollte.
Am Ende der Kette stand eine überzeugend gestaltete Phishing-Seite, die auf das Abgreifen von Microsoft-365-Zugangsdaten ausgelegt war. „Wie der Rest der Angriffskette ist auch dieser Schritt sorgfältig konstruiert — von einer gefälschten Ladeanimation, die Outlook nachahmt, bis zu einer Prüfung, ob die Eingabe tatsächlich eine E-Mail-Adresse ist. Als letzten Schritt versucht die Seite einen echten Login, um zu verifizieren, dass die erbeuteten Zugangsdaten gültig sind", erklärt Specops.
Das Sicherheitsunternehmen bestätigte gegenüber SecurityWeek, dass es sich bei der angegriffenen Person um eine C-Level-Führungskraft des Mutterkonzerns Outpost24 handelte, was die Raffinesse des Angriffs unterstreicht.
