Der Phishing-Köder erreichte das Opfer als angeblich von JP Morgan stammende Finanzmitteilung. Um Glaubwürdigkeit zu erzeugen, präsentierten die Angreifer die Nachricht so, als sei sie Teil eines laufenden, aktiven E-Mail-Verlaufs. Die E-Mail trug eine gültige DKIM-Signatur (DomainKeys Identified Mail), die mit der Infrastruktur von Amazon Simple Email Service verknüpft war. Dadurch bestand sie die Authentifizierungsprüfungen und erschien den Sicherheitssystemen von Outpost24 als legitim.

Ein Link hinter einer Schaltfläche „Review Document" auf der Phishing-Seite verwies zunächst auf eine legitime Cisco-Domain, die für das Umschreiben und Prüfen von Links in E-Mails gedacht ist. Beim Anklicken ging eine Anfrage an die Cisco-Secure-Web-Infrastruktur, die mit einer Weiterleitung zur dritten Stufe antwortete. Diese führte zu Nylas, einem legitimen API-Dienst für E-Mail-Synchronisation, -Tracking und -Automatisierung, dessen Weiterleitungsfunktion das Opfer erneut zur nächsten Station leitete.

Dort wartete ein PDF-Dokument, das auf der kompromittierten Infrastruktur eines indischen Softwareunternehmens lag. Das PDF leitete weiter auf eine Domain, die über mehrere Jahre registriert gewesen, dann aber vom früheren Inhaber hatte auslaufen lassen worden war. Die Angreifer registrierten sie neu und nutzten sie für den letzten Sprung – eine schädliche, hinter Cloudflare gehostete Domain, was das Nachverfolgen und Blockieren erschwerte. Vor der eigentlichen Anmeldeseite setzten die Täter zudem Anti-Bot- und Mensch-Validierungsdienste ein, um automatische Sicherheitswerkzeuge auszusperren.

Nach Angaben von Hector Garcia, Senior Threat Intel Analyst bei Outpost24, kam ein Phishing-as-a-Service-Baukasten namens Kratos zum Einsatz. „Unser Threat-Intelligence-Team konnte eine verschlüsselte Version des Phishing-Kits samt Konfiguration beschaffen und analysieren. Durch den Abgleich dieser Artefakte mit bekannten Mustern konnten wir mit hoher Sicherheit Verbindungen zum Kratos-Phishing-Kit feststellen", so Garcia. Einer konkreten Angreifergruppe ließ sich die Aktivität nicht zuordnen, zumal die Infrastruktur rasch abgebaut wurde.

Während die Qualität des Köders typisch für aktuelle Kampagnen sei, hebe sich der Angriff durch die Qualität der dahinterliegenden Infrastruktur ab, betont Garcia. Der Einsatz vertrauenswürdiger Domains, legitimer Dienste und mehrschichtiger Weiterleitung spiegele einen bewussten Aufwand wider, Erkennungsmechanismen zu umgehen. Einzeln seien diese Techniken nicht neu, ihr kombinierter Einsatz deute jedoch auf einen anhaltenden Trend zu widerstandsfähigeren und ausweichenderen Phishing-Operationen hin.

Mika Aalto, Mitgründer und CEO des in Helsinki ansässigen Unternehmens Hoxhunt, erklärt, Sicherheitsanbieter wie Outpost24 seien attraktive Ziele, weil sie tief in die Umgebungen ihrer Kunden eingebunden seien und ihrer Infrastruktur von Nutzern und Systemen grundsätzlich vertraut werde. „Oft ist es einfacher, durch den Garten des Nachbarn in die Burg zu schleichen, als das Haupttor zu stürmen." Entscheidend sei, dass der Angriff so gestaltet war, dass er automatische Prüfwerkzeuge umging und die schädliche Nutzlast nur einem Menschen zeigte – ein Argument für menschliches Risikomanagement und für mehrschichtige, an Zero-Trust-Prinzipien orientierte Verteidigung.

Darren Guccione, CEO und Mitgründer von Keeper Security, verweist darauf, dass Sicherheitsanbieter in der Vertrauensschicht moderner digitaler Infrastruktur säßen. Wer Zugangsdaten oder Systeme eines solchen Anbieters kompromittiere, erhalte Zugang zu einem Kanal, dem viele Organisationen bereits vertrauten. Solche Kampagnen offenbarten ein strukturelles Problem im Umgang mit Lieferantenrisiken: Das größere Risiko liege oft im Zugang, der Anbietern eingeräumt werde, sobald ihre Systeme in den Alltagsbetrieb integriert seien.