Cyberangriff durch vermeintlichen IT-Support über MS Teams: Ein Erfahrungsbericht

Manchmal liest man über Cyberangriffe und denkt, so etwas könne einem selbst nicht passieren – bis es dann doch geschieht. Genau so ein Fall spielte sich kürzlich ab. Der Angriff zeigt eindringlich, wie Social Engineering funktioniert und wie selbst ein eher unerfahrener Angreifer erheblichen Schaden anrichten könnte.

Wie alles begann: Die Spam-Welle

Es fing alles damit an, dass ein Mitarbeiter von einer Flut an Spam-Mails überschüttet wurde. Produktives Arbeiten war schlicht unmöglich. Rückblickend war das wohl der erste Schachzug des Angreifers. Die Überlastung der Mails sollten vermutlich das „perfekte“ Szenario schaffen, um den nächsten Schritt vorzubereiten: die Kontaktaufnahme.

Der „vermeintliche“ Retter: Kontakt über MS Teams

Während der Mitarbeiter noch versuchte, das Chaos in seinem Postfach zu bewältigen, meldete sich plötzlich jemand über MS Teams. Der Kontakt wirkte auf den ersten Blick völlig legitim – schließlich stellte sich die Person als IT-Support vor. Die Frage, ob die Probleme mit den Mails immer noch bestünden, traf genau den Nerv des gestressten Mitarbeiters. Der Mitarbeiter folgte den Anweisungen des vermeintlichen Helfers.

„Bitte laden Sie AnyDesk herunter“

Hier kam der nächste Schritt: Der Angreifer forderte den Mitarbeiter auf, die Fernwartungssoftware AnyDesk herunterzuladen. Auf den ersten Blick nichts Ungewöhnliches, oder? Doch genau hier schlug die Falle zu. Mit den besten Absichten gewährte der Mitarbeiter Zugriff, und der Angreifer war kurze Zeit später mitten in einer Remote-Session.

Die Remote-Session: 1,5 Stunden im Visier

Die Remote-Session dauerte etwa 1,5 Stunden. In dieser Zeit führte der Angreifer mehrere Aktivitäten durch:

  • Der Mitarbeiter wurde aufgefordert, sein M365-Passwort preiszugeben, was er leider tat.
  • Ein paar Dokumente wurden offenbar ausgeleitet, wie spätere Analysen der AnyDesk-Logs zeigten. Glücklicherweise handelte es sich um unkritische Dokumente.
  • Der Angreifer führte diverse Befehle aus, um Systeminformationen zu sammeln und Schwachstellen zu identifizieren.

Die Befehle zeigten einen Versuch, Netzwerkinformationen, Registrierungsdetails und möglicherweise sensible Konfigurationen auszulesen.

Unprofessionalität des Angreifers

Trotz der erfolgreichen Remote-Session zeigte sich der Angreifer als wenig professionell:

  • Mehrere PowerShell-Befehle schlugen fehl, und einige waren schlicht falsch formuliert.
  • Die Vorgehensweise deutete darauf hin, dass der Angreifer wohl ein Playbook oder Skript verwendete, das er blind kopierte und einfügte. Die Anpassung an die spezifische Umgebung fehlte komplett.
  • Das gleiche Angriffsmuster wurde in der Vergangenheit Angreifern zugeschrieben, welche die BlackBasta Ransomware-as-a-Service verwendeten. Inwiefern es sich es sich um einen Nachahmer oder einen Affiliate dieser Ransomware handelte, konnte nicht belegt werden. Weiterführende Informationen dazu finden Sie hier und hier.

Der Wendepunkt: Der echte IT-Support meldet sich

Nach 1,5 Stunden in der Remote-Session rief dann endlich der echte IT-Support der Firma an. Dies war der Moment, in dem der Mitarbeiter merkte, dass etwas nicht stimmte, und die Remote-Session unterbrach. Glücklicherweise war es dem unprofessionellen Vorgehen des Angreifers geschuldet, dass kein ernsthafter Schaden entstand. Der Rechner wurde isoliert, und alle Passwörter wurden zurückgesetzt.

Lektionen aus dem Vorfall

  1. Security Awareness Schulungen sind unverzichtbar:
    Der Angriff hätte womöglich verhindert werden können, wenn die Mitarbeitenden besser geschult gewesen wären. Insbesondere die Aufforderung zur Installation von Software sollte stets skeptisch hinterfragt werden.
  2. Restriktionen für Remote-Tools:
    Software wie AnyDesk sollte nicht einfach heruntergeladen und installiert werden können. Die versuchte Ausführung sollte blockiert und alarmiert werden. Ein Whitelisting für zulässige Programme sowie die Vorinstallation benötigter Software könnten ähnliche Vorfälle in Zukunft verhindern.
  3. Technische Schutzmaßnahmen:
    • Die Zusammenarbeit in Plattformen wie Microsoft Teams mit Externen Leuten sollte auf bekannte und vertrauenswürdige Organisationen beschränkt werden.
    • PowerShell-Aktivitäten sollten überwacht und restriktive Richtlinien für Skript-Ausführungen implementiert werden. Für weitere Informationen lesen Sie auch unseren vollständigen Artikel zum Thema Forensic Readiness.

Dieser Vorfall mag glimpflich ausgegangen sein, aber er zeigt deutlich, wie wichtig es ist, sowohl auf technischer als auch auf menschlicher Ebene vorbereitet zu sein. Social Engineering ist oft der effektivste Weg für Angreifer, ihre Ziele zu erreichen – das dürfen wir nie vergessen.

Beitrag teilen auf:

XING
Twitter
LinkedIn

Yasin Ilgar • Autor

Managing Cyber Defense Consultant

Seit 2021 gehört Yasin zum Team von SECUINFRA und ist für die Weiterentwicklung des Incident Response Services der SECUINFRA verantwortlich. Er hat sich auf die Erkennung, Analyse und Behebung von Sicherheitsvorfällen in Computernetzen spezialisiert.

> alle Artikel
Cookie Consent mit Real Cookie Banner