Ein führendes Cybersicherheitsunternehmen ist Opfer eines raffinierten Phishing-Angriffs geworden. Der Vorfall, der Ende Mai begann und am 18. Juni 2024 in einem groß angelegten E-Mail-Kompromittierungsangriff gipfelte, hat die Cybersicherheitsgemeinschaft erschüttert.

Erster Einbruch: Ein Wolf im Schafspelz

Der Angriff begann am 23. Mai, als ein Mitarbeiter des ANY.RUN-Verkaufsteams eine scheinbar harmlose E-Mail von einem vertrauenswürdigen Kunden erhielt. Unbemerkt vom Mitarbeiter war das Konto des Kunden kompromittiert worden und die E-Mail enthielt einen bösartigen Link. In einem kritischen Fehler gab der Mitarbeiter seine tatsächlichen Anmeldedaten und den Multi-Faktor-Authentifizierungs-Code (MFA) in ein gefälschtes Anmeldeformular ein, während er den Link in einer Sandbox-Umgebung testete. Dies gewährte dem Angreifer am 27. Mai initialen Zugriff auf das Konto des Mitarbeiters.

Beharrlichkeit und Datendiebstahl

Einmal im System zeigte der Angreifer bemerkenswerte Ausdauer. Er registrierte sein Mobilgerät für die MFA, um weiterhin Zugang zum kompromittierten Konto zu haben. In den nächsten 23 Tagen griffen der oder die Angreifer wiederholt auf das Postfach des Mitarbeiters zu. Am 5. Juni intensivierte der Angreifer seine Aktivitäten, indem er die Software PerfectData installierte, die möglicherweise ein vollständiges Mailbox-Backup ermöglichte. Dies zeigte eindeutig die Absicht, sensible Daten zu exfiltrieren.

Entfaltung der Phishing-Kampagne

Das volle Ausmaß des Einbruchs wurde am 18. Juni deutlich, als der Angreifer eine groß angelegte Phishing-Kampagne über das kompromittierte Konto des Mitarbeiters startete. E-Mails mit bösartigen Links wurden an die Kontaktliste des Mitarbeiters gesendet und ahmten den ursprünglichen Angriffsvektor nach.

ANY.RUN reagierte schnell. Minuten nach Entdeckung der unautorisierten Aktivität deaktivierte das Unternehmen das kompromittierte Konto, setzte die betroffenen Anmeldedaten zurück und widerrief aktive Sitzungen. Dennoch wirft der Vorfall ernsthafte Fragen zu den Sicherheitspraktiken des Unternehmens auf.

Reaktion und Maßnahmen von ANY.RUN

In einer Erklärung erkannte ANY.RUN den Einbruch an und skizzierte seine Reaktionsmaßnahmen, einschließlich kurzfristiger Eindämmungsstrategien und langfristiger Pläne für robustere Zugriffskontrollen und MFA-Richtlinien. Das Unternehmen betonte, dass weder Daten noch die Systemintegrität beeinträchtigt wurden.

Dieser Vorfall ist eine deutliche Erinnerung daran, dass selbst Cybersicherheitsunternehmen nicht vor raffinierten Angriffen sicher sind. Er unterstreicht die kritische Bedeutung strenger Sicherheitsprotokolle, der Schulung von Mitarbeitern und der Notwendigkeit ständiger Wachsamkeit angesichts sich entwickelnder Cyberbedrohungen.

Indikatoren einer Kompromittierung

IP-Adressen:

  • 45.61[.]169[.]4 (Sheridan, Wyoming, USA)
  • 40.83[.]133[.]199 (San Jose, Kalifornien, USA)
  • 172.210[.]145[.]129 (Boydton, Virginia, USA)
  • 162.244[.]210[.]90 (Dallas, Texas, USA) – Der Haupt-VPS, der bei dem Angriff verwendet wurde, wurde auf unsere Anfrage hin abgeschaltet.
  • 52.162[.]121[.]170 (Chicago, Illinois, USA)
  • 68.154[.]52[.]201 (Boydton, Virginia, USA)
  • 140.228[.]29[.]111 (Ada, Ohio, USA)
  • 52.170[.]144[.]110 (Washington, Virginia, USA)

URLs:

Website-Betreiber, die solche Konten oder Datenverkehr zu den genannten IP-Adressen bemerken, sollten sofort einen vollständigen Malware-Scan und eine Bereinigung durchführen.

Weitere Informationen und detaillierte Anweisungen zur Bereinigung finden Sie auf der Website von ANY.RUN. Bleiben Sie wachsam und stellen Sie sicher, dass Ihre Sicherheitsmaßnahmen aktuell sind, um zukünftige Angriffe zu verhindern.