Neue LinkedIn-Angriffskampagne nimmt Führungskräfte ins Visier

Vor kurzem haben Forscher von ReliaQuest in einem Blogbeitrag eine neue, kürzlich aufgespürte Angriffskampagne vorgestellt. Die Opfer: vornehmlich hochrangige Führungskräfte und IT-Mitarbeiter. Sie werden über personalisierte LinkedIn-Nachrichten dazu animiert, einen Link, der eine Archivdatei herunterlädt, anzuklicken. Werden deren Dateien dann extrahiert und geöffnet, werden, unter Zuhilfenahme der DLL-Sideloading-Technik, unerkannt für die IT-Sicherheit der Opfer bösartige Dateien in deren Netzwerk verbreitet. Endziel scheint die Installation eines Remote-Access-Trojaners (RAT) zu sein, über den die Angreifer sich dann umfassenden Zugang zum Netzwerk ihres Opfers verschaffen können – um ihre Berechtigungen zu erweitern, sich lateral fortzubewegen und Daten zu exfiltrieren.

Am Beginn dieses Angriffs steht stets die Kontaktaufnahme über den Chat von LinkedIn. Das Opfer erhält eine Nachricht, die einen Link zum Herunterladen eines WinRAR-Selbstentpackungsarchivs (SFX) enthält. Die im Archiv enthaltenen Dateien sind dabei stets sorgfältig auf die Rolle und Branche des Opfers zugeschnitten. Sie tragen Namen wie „Upcoming_Products.pdf” oder „Project_Execution_Plan.exe”. Wird der Link angeklickt, wird das Archiv heruntergeladen und extrahiert. Es beinhaltet: Eine legitime Open-Source-PDF-Reader-Anwendung, eine bösartige DLL-Datei, die vom PDF-Reader verwendet wird (und so getarnt ist, dass sie denselben Namen wie eine harmlose Datei trägt), eine portabel ausführbare Datei (PE) des Python-Interpreters und eine RAR-Datei (um den Ordner für Außenstehende legitim erscheinen zu lassen).

Startet das Opfer nun den extrahierten PDF-Reader, nutzt die bösartige DLL die DLL-Sideloading-Technik. Da sie unter dem vertrauenswürdigen Prozess des PDF-Readers ausgeführt wird, umgeht sie ihre Erkennung durch etwaige Endpoint-Sicherheitstools.

Der Python-Interpreter führt dann ein Open-Source-Shellcode-Runner-Skript aus, das in Base64 codiert ist. Dieses Skript wird im Speicher mit der Python-Funktion exec() entschlüsselt, wodurch Angreifer die Möglichkeit erhalten, unter Umgehung herkömmlicher Antiviren-Tools, Speicher zuzuweisen, die endgültige Nutzlast einzufügen und deren Ausführung zuzuweisen. Eine Analyse der Sicherheitsforscher ergab, dass die Command-and-Control-Aktivitäten (C2) der Angreifer dann häufig Versuche zeigen, einen C2-Server zu kontaktieren – ein Verhalten, das häufig mit RATs in Verbindung gebracht wird. RATs würde es Angreifern ermöglichen, sich dauerhaft Zugriff auf das kompromittierte System zu verschaffen.

Das Beispiel zeigt, was unter Sicherheitsexperten schon lange bekannt ist: im Gegensatz zur Kommunikation über E-Mail ist die Kommunikation über Social Media-Plattformen, wie LinkedIn, in den meisten Unternehmen immer noch nicht ausreichend abgesichert – die Belegschaft nicht ausreichend über die mit Social Media-Plattformen verbundenen Gefahren informiert. Unternehmen müssen ihre Mitarbeiter hier besser schulen. Auch und gerade bei Nachrichten auf Social Media, gerade wenn Links versandt werden, muss in der gesamten Belegschaft höchstes Misstrauen herrschen. Unternehmen kann nur geraten werden, regelmäßig Sicherheitsschulungen durchzuführen, die auch soziale Medien in den Fokus nehmen. Nur so werden sie Mitarbeitern dabei helfen können, Angriffe zu erkennen und riskante Downloads zu vermeiden – bevor es zu spät ist.

Am effektivsten – da umfassendsten – helfen kann Unternehmen hier der Einsatz eines modernen Human Risk Management-Systems. Seine Phishing-Trainings, -Schulungen und -Tests lassen sich, KI sei Dank, mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen, um Mitarbeiter wie KI-Agenten zu stärken. Seine modernen Anti-Phishing-E-Mail-Technologien kombinieren KI mit Crowdsourcing, um neueste Zero Day-Bedrohungen frühzeitig aufzuspüren und rechtzeitig abzuwehren. Mit solchen und ähnlichen Systemen ist es Unternehmen möglich, Risiken signifikant zurückzufahren und Mitarbeiter wie KI-Agenten zur besten Verteidigung im Kampf gegen Cyberbedrohungen zu machen.

Dr. Martin J. Krämer, CISO Advisor bei KnowBe4