Erkennen und Verhindern eines TA551 E-Mail-Spamangriffs

Die anhaltende Welle von TA551-E-Mail-Spam-Angriffen - auch bekannt als Shathak-Bedrohungskampagne - hat E-Mail-Sicherheitsanbieter vor einige besonders unangenehme Herausforderungen gestellt.

TA551 ist ein E-Mail-basiertes Malware-Verbreitungsschema, das vor allem auf Englisch sprechende Personen abzielt, aber auch auf Japaner, Italiener, Deutsche und einige andere Sprachen. Der TA551-Angriff wurde erstmals Ende 2019 beobachtet und zielt darauf ab, mehrere Arten von Malware zu implantieren, darunter Ursnif, IcedID und Valak. Dabei handelt es sich um Trojaner und Malware-Loader, die zum Auslesen von Bankdaten verwendet werden. Ein Großteil der Aktivitäten der TA551-Täter konzentriert sich auf den Finanzsektor.

Typisch für diese Art von Kampagnen ging das Bedrohungsniveau im Januar etwas zurück, da die Geschäftsaktivitäten zu Beginn des neuen Jahres nachließen. Während des gesamten Dezembers entdeckte das Mimecast Threat Center zwischen 2.000 und 7.000 E-Mails pro Tag, die den Merkmalen der TA551-Angriffe entsprachen. Während die Identität der Angreifer und das volle Ausmaß ihrer Motive unbekannt sind, scheint die zielgerichtete und konsistente Art des Spoofings das Werk professioneller Spammer zu sein, die zweifellos über umfangreiche Ressourcen verfügen.

Warum die TA551-Bedrohung so heimtückisch ist

Was diese E-Mail-Spam-Kampagne so heimtückisch macht, ist der chamäleonartige Charakter der Bedrohung. Keine zwei Angriffe sind identisch, und die E-Mails werden aus gestohlenen Inhalten zusammengesetzt, so dass sie ihren Opfern sowohl relevant als auch legitim erscheinen.

Und so funktioniert es:

• Die Spammer verschicken eine E-Mail mit einem Zip-Dateianhang. Die Datei besteht aus einem MS Word-Dokument oder etwas Ähnlichem und ist mit Malware in Form von Makros infiziert. Sobald der Empfänger sie öffnet, werden die Makros ausgeführt und infizieren das Gerät des Benutzers.
• Die Zip-Dateien sind passwortgeschützt, was das Scannen mit Antiviren-Software erheblich erschwert. Die Passwörter sind randomisiert und unterscheiden sich von E-Mail zu E-Mail.

Der Empfänger erhält das Kennwort im Hauptteil der E-Mail. Hier ein Beispiel aus dem wirklichen Leben, wie sich eine solche E-Mail liest: "Hallo. Hier sind die wichtigen Informationen für Sie. Siehe die Anlage zur E-Mail. Kennwort 1636721."

• Viele der angehängten Dateien sind nach dem Zielunternehmen benannt. Bei XYZ Co. lautet der Dateiname zum Beispiel "XYZ.zip". Dies lässt die E-Mail für den Empfänger glaubwürdiger erscheinen.
• Die Spammer verwenden gestohlene SMTP-Zugangsdaten, um die E-Mail zu versenden, so dass es scheint, als käme sie von einer legitimen Quelle. Dies macht auch die Erkennung anhand von Infrastrukturparametern recht schwierig, da alle E-Mails von legitimen Anbietern zu stammen scheinen.
• In Anbetracht der enormen Ressourcen, die ihnen zur Verfügung zu stehen scheinen, müssen die Täter nie etwas wiederverwenden - was die Erkennung der E-Mails erleichtern würde. Sie scheinen in der Lage zu sein, ständig neue Anmeldedaten, eine neue E-Mail-Adresse, neue Inhalte usw. zu verwenden.
• Die E-Mails sind kontextabhängig. Die Betreffzeilen, der Inhalt und die angehängten Dateien stimmen mit dem Unternehmen, der Funktion und den beruflichen Kontakten des Empfängers überein. Sie können auch auf aktuelle Projekte verweisen, an denen das beabsichtigte Opfer beteiligt ist.

Wenn man all dies zusammenzählt - die Verwendung kompromittierter Anmeldedaten, das Ausnutzen der Namen und der Glaubwürdigkeit der Zielunternehmen, die kontextabhängigen E-Mails, die aus gestohlenen Informationen zusammengestellt werden - wird klar, warum die Mitarbeiter so vieler Unternehmen dazu verleitet wurden, diese mit Malware verseuchten Anhänge zu öffnen. Es gibt nichts an den E-Mails oder ihrem Inhalt, was den Empfänger darauf aufmerksam macht, dass etwas nicht in Ordnung ist, was es sehr einfach macht, in die Falle der Spammer zu tappen.

Die Strategie von Mimecast zur Bekämpfung von TA551

Die Bedrohungsforscher von Mimecast haben die TA551-Kampagne genau analysiert (einen tieferen Einblick in die Ergebnisse finden Sie in unserem aktuellen Whitepaper: TA551/Shathak Threat Research ) und eine zweigleisige Strategie entwickelt, um die Kampagne mit einer Kombination von Erkennungstechniken auf unserer Anti-Virus- und Anti-Spam-Ebene zu bekämpfen.

Die Quintessenz

TA551/Shathak ist eine heimtückische E-Mail-basierte Spam-Kampagne, die Unternehmensnetzwerke kompromittiert. Die E-Mails und ihre mit Malware verseuchten Anhänge können einer genauen Prüfung standhalten und sind äußerst schwer zu erkennen. Als Reaktion darauf hat Mimecast diese Bedrohung genau analysiert, was es uns ermöglicht hat, Antivirensoftware und fortschrittliche Erkennungsfunktionen zu entwickeln, die in der Lage sind, sie zu besiegen.