{"id":306539,"date":"2024-11-29T00:03:08","date_gmt":"2024-11-28T23:03:08","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=306539"},"modified":"2024-12-02T15:16:23","modified_gmt":"2024-12-02T14:16:23","slug":"neue-spamwelle-oder-verschleierung-eines-angriffs","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/11\/29\/neue-spamwelle-oder-verschleierung-eines-angriffs\/","title":{"rendered":"E-Mail-Bombing: Neue Spamwelle? Oder Verschleierung eines (Black Basta) Angriffs?"},"content":{"rendered":"

\"Mail\"[English<\/a>]Ein Leser hat mir die Tage eine Beobachtung aus seinem IT-Umfeld mitgeteilt. Eine Mitarbeiterin wurde von einer regelrechten Spamwelle (mehr als 1.000\/Stunde) \u00fcberschwemmt. Alle Mails hatte irgend eine Best\u00e4tigung f\u00fcr eine Anmeldung, was bei mir einen bestimmten Verdacht weckt.<\/p>\n

<\/p>\n

Beschreibung des Lesers<\/h2>\n

\"\"Der Blog-Leser berichtete, dass eine Mitarbeiterin aus der\u00a0Personalabteilung innerhalb einer Stunde von \u00fcber 1.400 E-Mails bombardiert worden sei. Die im Unternehmen eingesetzte CheckPoint-L\u00f6sung habe nicht alles abgefangen, aber Menge der SPAM-Mails sei brutal gewesen.<\/p>\n

\"SPAM-Mails\"<\/a>
\nSpam-Mails; Zum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n

Er hat mir den hier gezeigten Screenshot zukommen lassen und fragt, ob ich das von anderen Lesern auch gemeldet wurde – was ich verneinen muss. Der Leser hat dann die betreffende\u00a0Mail-Adresse aus dem Exchange-Online heraus genommen, damit Ruhe ist.<\/p>\n

Dazu schrieb der Leser, dass er eine solche Masse an SPAM noch nie im Unternehmen erlebt habe, zumal die IT die DMARC-, DKIM-, SPF-Records usw. ordentlich pflegen und eine CheckPoint-L\u00f6sung zur Filterung verwenden.<\/p>\n

Mein Verdacht: Es wird verschleiert<\/h2>\n

Ich muss eine Weile zur\u00fcck gehen und erneut meinen Blog-Beitrag\u00a0Massen-Newsletter-Spam und der Paypal-Konten-Hack<\/a> heranziehen. Ein Nutzer berichtete, dass es Kunde von ihm mit Newsletter-Anmeldungen zugespammt wurde (genau wie in obigem Bild). Im Mail-Postfach trudelten binnen Stunden mit zigtausend eMails (Newsletter-Anmeldungen, Kontaktformularantworten) verschiedenster Herkunft ein.<\/p>\n

Da sind Spambots unterwegs, die Kontaktformulare von Homepages exploiten\/antesten und zum Spamversand missbrauchen. Das ist bekannt (da wird das CGI-Skript formmail.pl\u00a0<\/em>zum Spamversand missbraucht).<\/p>\n

Und am Ende des Tages stellte sich das Ganze als Hack des PayPal-Kontos des betroffenen Nutzers heraus. Der Nutzer sollte durch die Flut der SPAM-Meldungen davon abgehalten werden, die Warnmeldungen zum Fremdzugriff auf das PayPal-Kontos zu sehen – diese steckten ja zwischen den vielen SPAM-Meldungen.<\/p>\n

Erg\u00e4nzungen des Lesers<\/h2>\n

Ich hatte den Leser auf das obige Thema hingewiesen. Er meinte in seiner Antwort, dass es gut m\u00f6glich sei, dass es kein riesiger oder gro\u00df verbreiteter Versuch, Zugangsdaten phishen oder SPAM unterzujubeln, gewesen ist, sondern eher eine gezielte Aktion.<\/p>\n

Er hat einige Absender-IP-Adressen nachverfolgt. Es kommt ihm so vor, als ob Konten einiger Anbieter f\u00fcr Massenmail gehackte wurden oder noch sind. Viele der SPAM-Mails seien von MailChimp, MailChannels, oder von SendGrid gekommen. Er hat bei diesen Anbieter eine abuse-Meldeung abgesetzt.<\/p>\n

Zum Verdacht eines Kontenhacks schreibt er, dass die Mitarbeiter im Unternehmen\u00a0auch ziemlich geschult seien und da eine gewisse Achtsamkeit haben. Die betroffene Person habe nirgendwo die Tage\/Wochen ihre Zugangsdaten oder Firmenkontendaten weitergegeben. Die Sicherheitsl\u00f6sungen mit MDR und SOC im Mail-Strom habe jetzt auch nichts erkannt.<\/p>\n

Erw\u00e4hnungen bei reddit.com<\/h2>\n

Der Leser hat im Nachgang dann noch etwas in Richtung \"Angriff durch SPAM verschleiern\" gesucht und wurde bei reddit.com f\u00fcndig. Er schrieb im Nachgang, dass der SPAM von der\u00a0Black Basta-Ransomware-Gruppe kommen k\u00f6nne.<\/p>\n

Fall #1 auf reddit.com<\/h3>\n

Im reddit.com-Thread\u00a0End Users getting email bombed<\/a> beschreibt ein Administrator ebenfalls das obige Problem vor ca. einem Monat. Einige Benutzer aus seinem Unternehmen wurden mit Tausenden von Spam-E-Mails von verschiedenen Websites bombardiert. Der Betroffene fragt, ob jemand eine gute M\u00f6glichkeit kenne, dies zu verhindern.<\/p>\n

Im Thread best\u00e4tigt ein anderer Nutzer, dass dies\u00a0in letzter Zeit auch bei ihm der Fall sei.\u00a0 W\u00e4hrend des E-Mail-Bombing erhielten die Benutzer einen Audioanruf von externen Dritten, die behaupteten, sie seien von der IT-Abteilung und m\u00fcssten sich per Fernzugriff auf die Systeme schalten, um das Problem zu beheben.<\/p>\n

Dieser Benutzer best\u00e4tigte, dass dieser Angriff in der Vergangenheit auch dazu verwendet wurde, um zu verhindern, dass Personen eine legitime E-Mail sehen, die sie auf einen gerade stattfindenden Betrug aufmerksam macht.<\/p>\n

Diese Art des Angriffs sei schwer zu blockieren, da es sich um einen Abonnement-Angriff handelt. Das E-Mail-Konto wird bei News-Groups, Newslettern usw. von legitimen Diensten auf der ganzen Welt angemeldet. Manchmal kann man durch Filterregeln einen Teil des SPAMS abfangen.<\/p>\n

Fall #2 auf reddit.com<\/h3>\n

Vom Blog-Leser wurde auf einen zweiten reddit.com-Thread Weird Spam influx + teams calls?? Help<\/a> hingewiesen, der vor zwei Monaten erstellt wurde und \u00e4hnliches beschreibt. Er wird mit Spam-E-Mails \u00fcbersch\u00fcttet, kann diese aber nicht alle blockieren, weil sie von \u00fcberall her kommen und keine Gemeinsamkeiten aufweisen (er habe angefangen, Sprachen und L\u00e4nder zu blockieren).<\/p>\n

Auch dort best\u00e4tigen andere Nutzer diese Beobachtung und erw\u00e4hnen, dass das Ziel oft sei, das Opfer von was anderem abzulenken.<\/p>\n

Black Basta-Angriffstaktik<\/h2>\n

In den Reaktionen auf reddit.com gibt es dann noch einen Verweis auf den Beitrag\u00a0Ongoing Social Engineering Campaign Linked to Black Basta Ransomware Operators<\/a> von Rapid 7 aus dem Mai 2024. Die Sicherheitsforscher beschreiben, dass Rapid7 eine laufende Social-Engineering-Kampagne identifiziert habe, die damals auf mehrere Managed-Detection-and-Response-Kunden (MDR) abzielte.<\/p>\n

Der Bedrohungsakteur (genannt wurde Black Basta) \u00fcberflutet das E-Mail-Postfach eines Benutzers mit Junk-Mails\u00a0 und ruft das Opfer dann an, um Hilfe anzubieten. Der Angreifer fordert die betroffenen Benutzer auf, eine Fern\u00fcberwachungs- und -verwaltungssoftware wie AnyDesk herunterzuladen oder die in Microsoft integrierte Quick Assist-Funktion zu nutzen, um eine Remote-Verbindung herzustellen.<\/p>\n

Sobald eine Remote-Verbindung hergestellt wurde, l\u00e4dt der Bedrohungsakteur Nutzdaten von der Infrastruktur des Benutzers herunter, um die Anmeldedaten des betroffenen Benutzers abzufangen und den Zugang betroffenen Benutzers f\u00fcr das Eindringen zu nutzen. In einem Fall wurde auch beobachtet, dass der Angreifer Cobalt Strike Beacons auf andere Ressourcen innerhalb des angegriffenen Netzwerks einsetzte. Details sind dem verlinkten Beitrag zu entnehmen.<\/p>\n

Erg\u00e4nzung<\/strong>: Frank Carius hat das Thema Mail-Bombing jetzt auch in seinem Blog<\/a> aufgegriffen und gibt noch einige Zusatzinformationen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ein Leser hat mir die Tage eine Beobachtung aus seinem IT-Umfeld mitgeteilt. Eine Mitarbeiterin wurde von einer regelrechten Spamwelle (mehr als 1.000\/Stunde) \u00fcberschwemmt. Alle Mails hatte irgend eine Best\u00e4tigung f\u00fcr eine Anmeldung, was bei mir einen bestimmten Verdacht weckt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2039,426],"tags":[4353,4328],"class_list":["post-306539","post","type-post","status-publish","format-standard","hentry","category-mail","category-sicherheit","tag-mail","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/306539","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=306539"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/306539\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=306539"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=306539"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=306539"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}