Im Januar 2024 hat Darktrace, ein führendes Unternehmen im Bereich der KI-gestützten Bedrohungserkennung, einen ausgeklügelten Phishing-Angriff auf einen seiner Kunden aufgedeckt. Dabei wurde der legitime Cloud-Dienst Dropbox ausgenutzt.

Ablauf des Angriffs: Die Angreifer nutzten eine legitime E-Mail-Adresse „no-reply@dropbox[.]com“, die Dropbox häufig für automatisierte Benachrichtigungen verwendet. Der Inhalt der E-Mail wurde so gestaltet, dass er legitim erschien und vermutlich einen Link zu einem PDF-Dokument enthielt, das angeblich von einem Partner oder Kollegen des Empfängers geteilt wurde. Ein Klick auf den im PDF eingebetteten Link hätte den Benutzer auf eine bösartige Website führen können, die möglicherweise als legitime Anmeldeseite getarnt war.

Zusammenfassung des Angriffs: Am 29. Januar 2024 erhielt der Benutzer eine scheinbar legitime E-Mail von Dropbox, in der er daran erinnert wurde, ein am 25. Januar 2024 geteiltes PDF zu öffnen. Darktrace/Email identifizierte die E-Mail als verdächtig und verschob sie in den Junk-Ordner, um zu verhindern, dass der Benutzer auf einen potenziell bösartigen Link im PDF klickte. Darktrace/Email und Darktrace/Apps erkannten die verdächtige E-Mail erfolgreich, indem sie ungewöhnliches Verhalten und die Analyse des eingebetteten Links untersuchten.

Trotz des Eingreifens von Darktrace öffnete der Benutzer die verdächtige E-Mail und griff auf das PDF zu. Am 31. Januar 2024 beobachtete Darktrace eine Reihe verdächtiger Anmeldungen beim kompromittierten Microsoft 365-Konto:

  • Anmeldungen von ungewöhnlichen Standorten, die zuvor nie verwendet wurden.
  • Anmeldungen von IP-Adressen, die mit VPN-Diensten (ExpressVPN, HideMyAss) verbunden sind. Interessanterweise verwendeten die Angreifer gültige MFA-Token, was darauf hindeutet, dass sie die MFA-Richtlinie des Kunden umgangen haben (möglicherweise durch einen Benutzerfehler). Die Angreifer erstellten eine neue E-Mail-Regel im kompromittierten Konto, um E-Mails vom Buchhaltungsteam des Unternehmens automatisch in einen weniger überwachten Ordner zu verschieben.

Die Angreifer versendeten E-Mails, die den legitimen Kontoinhaber imitierten, mit dringlich wirkenden Betreffzeilen wie „Falscher Vertrag“ und „Benötigt dringende Überprüfung“, um die Empfänger zu weiteren Handlungen zu verleiten, die möglicherweise zusätzliche Konten gefährden könnten.

„Wäre RESPOND zum Zeitpunkt des Angriffs im autonomen Reaktionsmodus aktiviert gewesen, hätte es schnell eingegriffen und den verdächtigen Akteur ausgeloggt und deaktiviert, sobald dieser sich aus einer ungewöhnlichen Location in der SaaS-Umgebung angemeldet hatte. Damit wäre der Versuch der Kontoübernahme effektiv im frühesten Stadium unterbunden worden“, erklärte Ryan Traill, der Leiter für Bedrohungsinhalte.