{"id":259928,"date":"2021-11-27T13:07:16","date_gmt":"2021-11-27T12:07:16","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=259928"},"modified":"2023-02-20T08:19:32","modified_gmt":"2023-02-20T07:19:32","slug":"cyber-angriff-auf-ikeas-mail-system-trojaner-im-gepck","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/11\/27\/cyber-angriff-auf-ikeas-mail-system-trojaner-im-gepck\/","title":{"rendered":"Cyber-Angriff auf IKEAs-Mail-System, Trojaner im Gepäck"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Bei IKEA hat es einen Cyber-Angriff auf deren E-Mail-System gegeben, wie das Unternehmen in einer internen E-Mail-Warnung an Mitarbeiter mitteilte. Angreifer versuchen einen Reply-Chain-E-Mail-Angriff auf die Postf\u00e4cher der IKEA-Mitarbeiter, indem sie legitime Mails des Unternehmens beantworte, aber mit Links oder Anh\u00e4ngen versehen, die das Ziel haben, Malware auf den Ger\u00e4ten der Empf\u00e4nger zu installieren.<\/p>\n

<\/p>\n

\"\"Bleeping Computer hat die interne Warnung an die IKEA-Mitarbeiter erhalten und berichtet hier<\/a> dar\u00fcber. In der Mail an die Belegschaft hei\u00dft es:<\/p>\n

There is an ongoing cyber-attack that is targeting Inter IKEA mailboxes. Other IKEA organisations, suppliers and business partners are compromised by the same attack and are further spreading malicious emails to persons in Inter IKEA.<\/p>\n

This means that the attack can come via email from someone that you work with, fraom any external organisation, and as reply to an already ongoing conversation. It is therefore difficult to detect, for which we ask yo to be extra cautious. […]<\/p><\/blockquote>\n

Einem Angreifer ist es wohl gelungen, einen Cyber-Angriff auf das interne E-Mail-System von IKEA durchzuf\u00fchren. In dessen Folge die Mitarbeiter b\u00f6sartige Mails erhalten. Durch den Reply-Chain-E-Mail-Angriff auf die Postf\u00e4cher der IKEA-Mitarbeiter sind auch andere IKEA Organisationen, Lieferanten und Gesch\u00e4ftspartner von demselben Angriff betroffen. Alle diese Stellen verbreiten m\u00f6glicherweise b\u00f6sartige E-Mails an Personen innerhalb von Inter IKEA.<\/p>\n

Hintergrund:<\/strong> Bei einem Reply-Chain-E-Mail-Angriff kapern die Angreifer legitime Mails und warten, bis die Gelegenheit g\u00fcnstig ist. Dann antworten sie ggf. auf die Mails und versuchen dann ihre Malware an das Opfer zu bringen. Sentinel One hat das Ganze in diesem deutschsprachigen Artikel<\/a> ganz gut beschrieben. Wie die Angreifer sich bei IKEA in die legitimen E-Mail-Ketten einklinken k\u00f6nnen, ist mir aktuell unklar. Es muss ein E-Mail-Konto gekapert werden. Aktuell dr\u00e4ngt sich aber der Eindruck auf, dass es mehrere Postf\u00e4cher (bei IKEA oder einem verbundenen Unternehmen) sind\u00a0 – und dann w\u00e4re mein folgender Hinweis auf Exchange m\u00f6glicherweise nahe dran an der Ursache. Ist aber Spekulation.<\/p><\/blockquote>\n

Solche Mails sind schwer als Angriff zu erkennen, denn der Folgeangriff per E-Mail kann von jemandem kommen, mit dem die Empf\u00e4nger zusammenarbeiten. Das betrifft auch Mails von einer externen Organisation oder als Antwort auf eine bereits laufende Konversation.<\/p>\n

An dieser Stelle f\u00e4llt mir sofort meine Warnung vor Angriffen auf verwundbare Exchange Server ein, die dann zur Verbreitung von SPAM-Mails oder Angriffen genutzt werden. Siehe meine Beitr\u00e4ge am Artikelende.<\/p><\/blockquote>\n

Die IT von IKEA warnt die Mitarbeiter, dass die Reply-Chain-E-Mails Links mit sieben Ziffern am Ende enthalten. Intern wurde eine Beispiel-E-Mail weitergeleitet, die ein solches Dokument zeigt. Der folgende Ausschnitt stammt aus der Mail, die bei Bleeping Computer gezeigt wurde.<\/p>\n

\"IKEA-Beispiel-Mail
\nIKEA-Beispiel-Mail mit b\u00f6sartigen Links, Quelle: Bleeping Computer<\/p>\n

Den Kollegen von Bleeping Computer scheint es gelungen zu sein, den Angriffsvektor \u00fcber die obigen Links zu verfolgen. Ruft ein Mitarbeiter diese URLs per Browser auf, wird er zu einem Download namens \"charts.zip\" umgeleitet. Diese Archivdatei enth\u00e4lt ein b\u00f6sartiges Excel-Dokument, dass den Benutzer auffordert, auf die Schaltfl\u00e4chen \"Inhalt aktivieren\" oder \"Bearbeitung aktivieren\" zu klicken, um das Dokument ordnungsgem\u00e4\u00df anzuzeigen.<\/p>\n

Bleeping Computer schreibt, dass die Excel-Datei bei Anwahl der Schaltfl\u00e4chen Makros ausf\u00fchrt, die Dateien mit den Namen \"besta.ocx\", \"bestb.ocx\" und \"bestc.ocx\" von einer Remote-Site herunterladen und im Ordner C:\\Datop<\/em> speichern. Diese OCX-Dateien werden in DLLs umbenannt und mit dem Befehl regsvr32.exe ausgef\u00fchrt, um die Malware-Nutzlast zu installieren.<\/p>\n

\"Virustotal\"
\nVirustotal-Eintrag<\/p>\n

Diese Angriffsszenarien wurden bei Malware-Kampagnen beobachtet, die den Qbot-Trojaner (auch als QakBot und Quakbot bekannt) und m\u00f6glicherweise Emotet installiert werden, wie aus einem VirusTotal-Eintrag<\/a>, den BleepingComputer gefunden hat, hervorgeht.<\/p>\n

Aktuell sind ja die Cyber-Wochen und die einkaufsst\u00e4rksten Monate des Jahres, in denen Weihnachtseink\u00e4ufe erledigt werden. K\u00fcrzlich hatten wir ja den Angriff auf Media Markt. Die Cyberkriminellen schauen also sehr genau, wen sie angreifen. Sicherheitsanbieter Semperis hatte mir k\u00fcrzlich zum Media Markt-Fall einen Kommentar geschickt, der darauf hinweist, wie verwundbar selbst moderne Retail-Unternehmen sind, die ihr Geld mit Technik verdienen. Oft gen\u00fcgt ein Schlupfloch und die Angreifer k\u00f6nnen sich unbemerkt ihrem Ziel n\u00e4hern. Ist dieses erreicht, dann kann es (leider) sehr schnell gehen \u2013 und der R\u00fcckweg wird m\u00fchsam. Mal schauen, was noch kommt.<\/p><\/blockquote>\n

\u00c4hnliche Artikel:
\n<\/strong>BSI\/CERT-Warnung: Kompromittierte Exchange-Server werden f\u00fcr E-Mail-Angriffe missbraucht (Nov. 2021)<\/a>
\nWarnung (CERT-Bund, USA, GB) vor Angriffen auf Exchange und Fortinet<\/a>
\nProxyNoShell: Mandiant warnt vor neuen Angriffsmethoden auf Exchange-Server (Nov. 2021)<\/a>
\nWarnung: ProxyShell, Squirrelwaffle und ein PoC-Exploit, patcht endlich eure Exchange-Server<\/a>
\nMedia Markt\/Saturn: Ransomware-Angriff durch Hive-Gang, 240 Mio. US $ L\u00f6segeldforderung<\/a>
\nCyber-Angriff auf Ebersp\u00e4cher-Gruppe \u2013 Belegschaft in Kurzarbeit<\/a>
\nRansomware-Angriff auf Arztdienstleister medatixx<\/a>
\nRansomware-Angriff auf Media Markt\/Saturn<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Bei IKEA hat es einen Cyber-Angriff auf deren E-Mail-System gegeben, wie das Unternehmen in einer internen E-Mail-Warnung an Mitarbeiter mitteilte. Angreifer versuchen einen Reply-Chain-E-Mail-Angriff auf die Postf\u00e4cher der IKEA-Mitarbeiter, indem sie legitime Mails des Unternehmens beantworte, aber mit Links oder … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-259928","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259928","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=259928"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259928\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=259928"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=259928"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=259928"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}