Das Forschungsteam von Obsidian hat eine neue Phishing-Kampagne namens „Butcher Shop“ aufgedeckt, die auf Microsoft 365-Konten sowie auf Rechts-, Regierungs- und Bauunternehmen abzielt. + Diese Kampagne verwendet eine Mischung aus E-Mail-Weiterleitungen und offenen Weiterleitungsschwachstellen, was es für herkömmliche Phishing-Lösungen schwierig macht, sie zu erkennen und zu blockieren.
Unser Forschungsteam hat eine neue Phishing-Kampagne aufgedeckt, die auf die Bereiche Recht, Regierung und Bauwesen abzielt und den Namen „Butcher Shop“ (ja, Butcher Shop) trägt.
In diesem Blogbeitrag erklären wir, wie diese Kampagne funktioniert, warum es sich lohnt, ihr Aufmerksamkeit zu schenken, und welche Schritte Sie unternehmen können, um Ihre Organisation zu schützen.
Was ist Butcher Shop?
Butcher Shop tauchte Anfang September auf und zielt hauptsächlich auf Microsoft 365-Konten ab. Der Angriff stützt sich auf Phishing-Links, die über verschiedene Kanäle bereitgestellt werden, wie z. B.:
- Weiterleitungs-URLs von Plattformen wie Canva, Google AMP oder Dropbox‘ Docsend
- Kompromittierte WordPress-Seiten
- Jeder Dienst mit einer Open-Redirect-Schwachstelle
Ein Angreifer verwendet eine vertrauenswürdige Domain (company.com), um Benutzer auf eine schädliche Website (evil.com) umzuleiten. Diese Umleitungen erschweren es herkömmlichen Phishing-Lösungen , den Angriff zu blockieren, da legitime Domains beteiligt sind.
Mehr zum Thema: Warum herkömmliche Schutzmaßnahmen nicht ausreichen, erfahren Sie hier.
Seit Beginn der Kampagne haben wir über 200 Domains und 400 eindeutige URLs identifiziert, die damit in Verbindung stehen. Diese Domains ahmen oft Branchen wie Recht, Regierung und Bauwesen nach. Die meisten sind nur von kurzer Dauer und existieren nur für ein paar Tage, was eine URL-basierte Blockierung unwirksam macht.
Warum sind solche Kampagnen so besorgniserregend?
Herkömmliche E-Mail-Sicherheitstools haben aufgrund ihres mehrschichtigen Ansatzes und der Verwendung legitimer Verifizierungsmethoden wie Cloudflare Turnstiles Schwierigkeiten mit solchen Kampagnen. Das Blockieren von Domains reicht nicht aus, wenn Angreifer Hunderte von ihnen durchlaufen, und das Umgehen von MFA-Schutzmaßnahmen gefährdet selbst gut gesicherte Organisationen.
Verwandte Themen: Weitere wichtige Phishing-Kampagnen, auf die Sie achten sollten.
Rechtswesen, Regierung und Bauwesen sind die Hauptziele
Wir haben die Phishing-Seiten, die in den letzten Wochen mit dieser Kampagne verlinkt waren, überprüft und festgestellt, dass die meisten Domains mit den Bereichen Rechtswesen, Regierung und Bauwesen verknüpft waren, was darauf hindeutet, dass dies die Hauptziele waren.
Zum Zeitpunkt der Veröffentlichung dieses Beitrags sind die häufigsten Domains, die mit dieser Kampagne in Verbindung stehen, unten aufgeführt.
brandlawdocs[.]com | businessinvocloud[.]com | appforconstruction[.]com |
federalbusinesslegal[.]com | invocdocs[.]com | norterc[.]com |
invocelaw[.]com | payrollservicesfederal[.]com | businesscloudapps[.]com |
invoicingconstructionlaw[.]com | appinvoices[.]com | invoicinglawyer[.]com |
outlooklawyer[.]com | docfederal[.]com | businesslawsheets[.]com |
lawforconstruction[.]com | federalapphub[.]com | lawfinancelabel[.]com |
legalservicesfederal[.]com | kontra-werbetechnik[.]eu | constructionfederal[.]com |
Die Phishing-URLs für diese Kampagne folgen einem einheitlichen Muster und enthalten in der Regel eine Subdomain, die Hauptdomain, die TLD und eine 5-stellige Zeichenfolge am Ende.
Der Titel der Webseite ändert sich bei jeder Aktualisierung. Er folgt einem botanischen Thema, wobei das erste Wort ein beliebiger Begriff aus dem Pflanzenbereich ist und das zweite Wort fast immer eines der folgenden ist: Sprössling, Blatt, Blüte, Baum, Zwiebel, Blume oder Wurzel. Dies führt zu Seitentiteln wie Eibeblüte, Rosensprössling oder Fuchsienblatt (sie klingen doch ganz nett, oder?).
- Bösartiges Skript stiehlt Anmeldedaten über CDN
Die Phishing-Seite wird über ein Skript namens bootstrap.js geladen, das auf dem CDN von Tencent Cloud gehostet wird. Dieses Skript führt mehrere Funktionen aus, darunter das Erstellen der Phishing-Seite, das Validieren und Stehlen von Anmeldedaten und das Umleiten des Benutzers nach dem Angriff. Es enthält auch eine Base64-codierte URL, die das endgültige Ziel für die gestohlenen Anmeldedaten ist. Das Bootstrap-Skript ist zwar verschleiert, bleibt aber für jede Phishing-Seite, die diese Vorlage verwendet, gleich, mit Ausnahme des verschlüsselten Command-and-Control-Links (C2).
- Zufällig generierter Text zum Thema Fleisch, der in den Code der Phishing-Seite eingebettet ist
Das letzte Merkmal der Butcher-Shop-Kampagne ist die Einbindung von zufällig generiertem Lorem-Ipsum-Text zum Thema Fleisch in die Kommentare des Codes der Phishing-Seite. Dieser Text ähnelt dem Inhalt, der von einem Dienst namens Bacon Ipsum generiert wird, und kann mithilfe seiner API oder seines jQuery-Plugins generiert werden.
box, containing a URL that redirects to the phishing page.
- Der Server präsentiert eine Seite mit einem eingebetteten Cloudflare-Drehkreuz, das der Benutzer passieren muss.
- Nach dem Passieren des Drehkreuzes werden verschiedene JavaScript-Bibliotheken geladen und die Phishing-Seite wird durch eine bootstrap.min.js-Datei erstellt, die auf dem CDN von Tencent Cloud gehostet wird.
- Sobald der Benutzer seine E-Mail-Adresse eingibt (entweder manuell oder automatisch ausgefüllt), kommuniziert die Phishing-Seite mit dem Command-and-Control-Server (C2), um die E-Mail durch Senden einer POST-Anfrage zu validieren. Wenn die E-Mail gültig ist, wird der Prozess fortgesetzt.
.
Die Phishing-Seite erhält dann eine Antwort vom C2-Server mit zusätzlichen Informationen, die auf die Kompatibilität mit dem föderierten Entra (Identitätsdienst) hinweisen oder das Anmelde-Hintergrundbild des Unternehmens bereitstellen können.
- Im nächsten Schritt wird das Passwort des Benutzers angefordert. Nach der Eingabe wird das Passwort in Base64 codiert und an den C2-Server gesendet. Der C2-Server leitet die E-Mail und das Passwort an Microsoft weiter und leitet den Benutzer dann entweder weiter (wenn keine MFA erforderlich ist) oder sendet zusätzliche Anfragen (wenn eine MFA erforderlich ist).
- Wenn eine mehrstufige Authentifizierung erforderlich ist, leitet der C2-Server die verfügbaren MFA-Methoden an die Phishing-Seite weiter. Der Benutzer wählt seine bevorzugte Methode aus, die an den C2-Server gesendet wird. Die Phishing-Seite fordert den Benutzer dann auf, die ausgewählte MFA-Methode abzuschließen, und sendet den Code oder das Token an den C2-Server zurück.
Die Phishing-Seite sendet die ausgewählte Methode an den C2-Server, und der C2-Server weist die Phishing-Seite an, den entsprechenden HTML-Code anzuzeigen.
Der Benutzer schließt die mehrstufige Authentifizierung ab und die Informationen werden an den C2-Server zurückgegeben. Nach der Validierung der Sitzung wird eine Weiterleitung gesendet.
- Nach Abschluss der mehrstufigen Authentifizierung werden die Informationen an den C2-Server zurückgegeben. Wenn die Sitzung validiert wird, wird eine Weiterleitung an die legitime Microsoft365-Anmeldeseite gesendet, wodurch der Phishing-Angriff abgeschlossen wird.
Die zweite Vorlage scheint eine gezielte Phishing-Seite für Dienste zu sein. In diesem Beispiel sehen wir eine OneDrive-Phishing-Seite mit Vorlage. Diese Vorlage ist neuer in der Szene:
Beide dieser Vorlagen ahmen legitime Microsoft-Anmeldeseiten sehr genau nach, sodass es für den durchschnittlichen Benutzer schwierig ist, nicht Opfer der Phishing-Website zu werden.
Wenn man einige der C2-URLs genauer untersucht, kann man ein Verzeichnis mit einer Reihe von Subdomains finden, von denen jede wahrscheinlich ein Empfangspunkt für den C2-Server ist.
Wenn Sie versuchen, auf die Links zuzugreifen, gelangen Sie auf eine Seite mit einem defekten Cloudflare-Drehkreuz.
Ihr Kontakt zu uns:
Pascal Cronauer, Regional Sales Director, Central Europe @Obsidian Security | SaaS Security | SSPM | Threat Mitigation | Integration Risk Mgmt
Marko Kirschner, Technical Enthusiast @Obsidian Security
Bild/Quelle: https://depositphotos.com/de/home.html