Ein neuer Fall von Intrusion, der von Bedrohungsjägern erkannt wird, konzentriert sich erneut auf eine Kombination von Social Engineering und fortschrittlichen Evasionstechniken, die zusammen schnelle und leise Angriffe innerhalb von Unternehmensnetzwerken erleichtern. Forschung Huntres sie dokumentierten, wie böswillige Akteure technische Unterstützung erhielten, um Mitarbeiter zu überzeugen, Remote Access-Sessions zu öffnen, und von dort aus setzten sie das Kommando- und Kontroll-Framework ein, das als Havo mit dem offensichtlichen Ziel, Daten auszufiltern oder einen Ransomware-Angriff vorzubereiten.
Die von Analysten beschriebene Angriffskette beginnt mit einer Massenpostkampagne, die nicht nur zum Fischen von Anmeldeinformationen, sondern zum Sättigen von Einlauffächern und zur Vorbereitung des Bodens auf einen überzeugenden Telefonanruf ausgelegt ist. Das Telefon ist kein kleines Detail: Die Angreifer rufen sich an den Hilfetisch und überreden das Opfer, den Fernzugriff auf das Team durch legitime Werkzeuge wie Quick Assist oder Remote Desktop-Anwendungen wie INSGESAMT. Einmal drinnen verschwendet der Eindringling keine Zeit: Er öffnet den Browser und führt den Benutzer zu einer falschen Cloud-gehosteten Seite, die einen Microsoft-Service zu "aktualisieren" Spamregeln in Outlook imitiert.
Diese apocrypho Website fordert die E-Mail und, durch Drücken einer "Update-Einstellungen" Taste, es läuft ein Skript, das eine Überschneidung zeigt, indem Sie nach dem Passwort fragen. Mit dieser Doppelbewegung erreichen die Angreifer zwei gleichzeitige Ziele: Erlangung von Anmeldeinformationen und Stärkung der Legitimität der Operation, die die Zusammenarbeit des Opfers erleichtert. Das angebliche Spam-Patch, das heruntergeladen wird, ist nicht von Vorteil: Was scheint ein legitimer Installer ist eine zuverlässige binäre - zum Beispiel ADNotificationManager. exe oder system binär - die wiederum sideloadea eine bösartige DLL. Diese DLL fungiert als Gateway, um den Havoc-Shellcode zu laden und den Agenten als Demon einzusetzen.
Technische Details der Nutzlast zeigen einen klaren Fokus auf Mocking Defenses: Einige der identifizierten DLL enthielten Steuerflussabfluss, Zeitverzögerung Schleifen und anspruchsvolle Techniken wie Halo's Gate und andere Variationen von "Hell's Gate" zu Haken ntdll. dll Funktionen und vermeiden EDR Haken im Benutzerraum. Um diese Art von Taktiken zu kontextualisieren, gibt es technische Erläuterungen, wie EDR-Hooks vermieden werden und die Auswirkungen auf die Erkennung in Unternehmensumgebungen in der Analyse wie z.B. Das ist nicht so. und Forschungsstudien zu ntdll Koppelketten.
Nachdem die Angreifer den "Schachkopf" eingerichtet hatten, bewegen sich die Angreifer schnell. Huntress dokumentierte Fälle, in denen die anfängliche Intrusion innerhalb von Stunden auf mehrere Endpunkte erweitert wurde und die manuelle Befehlsausführung durch Angreifer mit automatisiertem Einsatz für Persistenz kombiniert. Die Techniken, um im Netzwerk zu bleiben, umfasste die Schaffung von programmierten Aufgaben, die den Agenten nach jedem Neustart neu zu starten, und manchmal die Installation von legitimen Remote-Management-Tools wie Level RMM oder XEOX, um Persistenzpunkte zu diversifizieren und komplizierte Abhilfe.
Das Angriffsmuster erinnert an frühere Operationen an Gruppen von Ransomware, die "E-Mail-Pumping" und Phishing-Kampagnen von Microsoft Teams missbraucht, um Aktionen zu zwingen, und hebt zwei Hypothesen über ihren Ursprung: entweder ehemalige Gruppen-Affiliate wie Black Basta wenden das gleiche Libretto in neuen kriminellen Projekten, oder andere Bands haben dieses Playbook angenommen, weil es funktionierte. Was auch immer der Fall ist, die Lektion ist klar: Taktiken, die zuvor als eine Domäne hochentwickelter Akteure angesehen wurden, werden für organisierte Kriminalitätsgruppen zugänglicher und häufiger, die einen ersten Zugang und eine schnelle Beharrlichkeit suchen.
Über die technische Komponente hinaus ist der besorgniserregendste Punkt die Normalisierung der Social-Handy-Engineering und die Bereitschaft der Angreifer, persönliche Zahlen zu nennen, um die Wahrscheinlichkeit des Erfolgs zu verbessern. Wenn ein scheinbar glaubwürdiger Anruf die Tür öffnet, werden komplexe Malware-Ausweich- und Ladetechniken, dass Eingabe in einen Kompromiss mit lateraler Reichweite und Risiko von Massendaten Exfiltration oder Verschlüsselung.
Um sich in diesem Szenario zu verteidigen, müssen menschliche und technische Maßnahmen kombiniert werden: Es ist wichtig, die Mitarbeiter zu erziehen, um die Identität des Anrufers zu überprüfen, bevor der Zugriff auf ihre Ausrüstung und das Misstrauen von dringenden Anträgen, die Fernsteuerung oder die Einführung von Anmeldeinformationen auf ungewöhnlichen Seiten. Von der technologischen Ebene, die Annahme von Multifaktor-Authentifizierung, die Überwachung von programmierten Aufgaben, strenge Kontrolle über die Installation von Software und die Fähigkeit von Sicherheitslösungen, anormale Verhaltensweisen zu erkennen, anstatt nur statische Signaturen sind Hindernisse, die den Erfolg dieser Angriffe reduzieren. Cybersicherheitsagenturen wie CISA sie veröffentlichen nützliche Anleitungen und Warnungen, wie man Risiken im Zusammenhang mit Ransomware und anfängliche soziale technische Verpflichtungen abmildern kann.
Dieser Vorfall ist eine Erinnerung daran, dass die Sicherheit nicht nur eine Frage der Werkzeuge ist: es ist eine Disziplin, die Prozesse, menschliche Überprüfung und tiefgehende Verteidigungsvision erfordert. Die Kombination aus einer überzeugenden Telefontäuschung, dem Missbrauch von legitimen Gewinnen und fortschrittlichen Evasionstechniken erzeugt einen Feind, der in der Lage ist, mit viel Feinheit einzugehen und sich schnell in ein Netzwerk zu bewegen. Bleiben Sie wachsam, überprüfen Sie Remote Access Prozeduren und bereiten Sie Antwortpläne, die schnelle Abhilfe zu betrachten sind wesentliche Schritte, um Schäden zu minimieren, wenn diese Systeme wieder auftreten.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...