Palo Alto Networks warnt vor neuer Phishing-Kampagne

Cyber-Kriminelle missbrauchen Fernzugriffstool NetSupport Manager

[datensicherheit.de, 01.03.2020] Nach eigenen Angaben hat Palo Alto Networks und dessen Malware-Forschungsabteilung „Unit 42“ ein schädliches und potenziell gefährliches „Microsoft Word“-Dokument identifiziert, das demnach „als kennwortgeschütztes NortonLifelock-Dokument getarnt war“. Dieses sei in einer Phishing-Kampagne zur Bereitstellung des kommerziell erhältlichen Fernzugriffstools (Remote Access Tool, RAT) „NetSupport Manager“ verwendet worden. Der Einsatz eines fiktiven „NortonLifelock“-Dokuments, um Benutzer zur Aktivierung von Makros zu verleiten, mache diesen speziellen Angriff für die Sicherheitsexperten interessant.

RAT normalerweise für legitime Zwecke verwendet

Dieses RAT werde normalerweise für legitime Zwecke verwendet, um Administratoren den Fernzugriff auf Client-Rechner zu ermöglichen. Kriminelle hätten das RAT jedoch auf den Systemen ihrer Opfer installiert und sich so unbefugten Zugriff verschafft.
Die Verwendung von „NetSupport Manager“ bei Phishing-Kampagnen, um sich unbefugten Zugriff zu verschaffen, werde von Bedrohungsforschern mindestens schon seit 2018 beobachtet.

Aktivität Teil einer größeren Kampagne

Bei einer ersten Überprüfung der aktuellen Erkennung, die zuvor von der „Cortex XDR Engine“ markiert worden sei, hätten die IT-Sicherheitsexperten festgestellt, „dass die Kausalitätskette begann, als ein ,Microsoft Word‘-Dokument aus ,Microsoft Office Outlook‘ heraus geöffnet wurde“.
Obwohl den Forschern die eigentliche E-Mail nicht zur Verfügung stehe, hätten sie den Schluss ziehen können, „dass diese Aktivität Teil einer größeren Kampagne zu sein scheint“.

Cyber-Angreifer setzen Ausweichtechniken ein

Bei dieser Aktivität hätten die Cyber-Angreifer Ausweichtechniken eingesetzt, um sowohl die dynamische als auch die statische Analyse zu umgehen. Zur Installation der bösartigen Dateiaktivität komme das „PowerShell PowerSploit“-Framework zum Einsatz.
Durch zusätzliche Analysen habe das Forschungsteam verwandte Aktivitäten identifiziert, die bis Anfang November 2019 zurückreichten. Im ausführlichen Bericht zu dieser Bedrohung beschreibe „Unit 42“ die anomalen Aktivitäten, die durch die Verhaltenserkennungsfunktionen von „Cortex XDR“ beobachtet worden seien.

Weitere Informationen zum Thema:

paloalto NETWORKS, UNIT 42, 27.02.2020
Cortex XDR™ Detects New Phishing Campaign Installing NetSupport Manager RAT

datensicherheit.de, 07.08.2019
Palo Alto Networks: Sieben Merkmale wirksamer Cloud-Sicherheitslösungen