TR-93 - Finanzbetrug nach Systemkompromittierung über Remote-Management- und Monitoring-Tools

TR-93 - Finanzbetrug nach Systemkompromittierung über Remote-Management- und Monitoring-Tools

Back to TR-93 - Financial transaction fraud after sytem compromise via Remote Management and Monitoring tools

  1. Zusammenfassung
  2. Bedeutung für Luxemburg
  3. Modus Operandi
  4. Schutzmaßnahmen
  5. Maßnahmen bei einer Kompromittierung
  6. Effektive Gegenmaßnahmen
  7. Wiederherstellung nach einer Kompromittierung
  8. Fazit
  9. IoC
  10. Dokumentklassifikation
  11. Revision

You can report incidents via our official contact including e-mail, phone or use the Anonymous reporting form.

Search


CIRCL is accredited TI CIRCL is a FIRST member CIRCL is an OASIS member

Zusammenfassung

Dieses Dokument beschreibt eine Malspam-Attacke, die sich gegen Unternehmen richtet, indem betrügerische E-Mails versendet werden, die Remote-Monitoring & Management (RMM)-Tools ausnutzen. Die Angreifer täuschen die Empfänger dazu, auf einen schädlichen Link zu klicken, der als Rechnung getarnt ist und ein RMM-Tool auf ihrem System installiert. Da diese Tools legitime Anwendungen sind, umgehen sie Antiviren-Erkennungen und ermöglichen den Angreifern vollständigen Fernzugriff.

Sobald der Zugriff erlangt ist, eskalieren die Angreifer ihre Kontrolle, indem sie zusätzliche RMM-Tools zur Persistenz installieren, Malware über E-Mails verbreiten und Systemeinstellungen ändern. Besonders kritisch ist, dass sie kompromittierte Arbeitsstationen – oft von Buchhaltern oder Finanzverantwortlichen – ausnutzen, um Smartcard-PINs abzufangen und betrügerische Überweisungen auszuführen, was zu erheblichen finanziellen Verlusten führt.

Dieses Dokument bietet eine detaillierte Analyse des Modus Operandi, der Risiken und der empfohlenen Schutzmaßnahmen zur Abwehr solcher Angriffe.

Bedeutung für Luxemburg

In den letzten Wochen haben wir mehrere Berichte von Organisationen und Einzelpersonen erhalten, die verdächtige Anfragen von ihren Banken gemeldet haben, wie zum Beispiel:

  • „Möchten Sie wirklich 10 Transaktionen im Gesamtwert von ca. 30.000 EUR ins Ausland ausführen?“
  • „Möchten Sie wirklich eine Transaktion über 1.000.000 EUR ins Ausland ausführen?“

Diese Transaktionen sind echt und wurden von Angreifern ausgeführt, die Zugriff auf das Bankensystem des Opfers erlangt haben, indem sie legitime Remote-Management- und Monitoring-Tools (RMM) installiert haben.
Die Erstinfektion erfolgt über Phishing- und Spear-Phishing-Angriffe, wie unten beschrieben.

Modus Operandi

  1. Der Angreifer sendet eine betrügerische geschäftliche E-Mail mit einer gefälschten Rechnung als Anhang.
  2. Der Anhang ist tatsächlich ein Link, der ein Remote-Monitoring- & Management-Tool (RMM) herunterlädt.
  3. Wenn das Opfer den Link anklickt, wird das RMM-Tool auf seinem System installiert.
  4. Antivirus-Software erkennt das RMM-Tool nicht als bösartig, da es sich um legitime Anwendungen handelt.
  5. Das RMM-Tool gewährt dem Angreifer vollständigen Fernzugriff auf den Computer des Opfers, wodurch er die mehrstufige Smartcard-PIN erfassen kann.
  6. Der Angreifer führt dann folgende Aktionen durch:
    • Installation weiterer legitimer RMM-Tools zur Aufrechterhaltung des Zugriffs.
    • Versenden infizierter E-Mails an Kontakte im Adressbuch des Opfers.
    • Analyse des kompromittierten Systems.
    • Modifikation von Systemeinstellungen zur Erreichung seiner Ziele.
    • Durchführung betrügerischer Finanztransaktionen.

Aktuelle Beispiele (Französisch)

Objet : Recouvrement de facture impayée – Facture no FACT#062024 et FACT#072024 datée du 15/06/2024

Monsieur, Madame,

La présente communication concerne la facture no FACT#032024 et FACT#042024 au montant total de 32.857€ qui Recouvrement de facture impayée – Facture no FACT#062024 et FACT#072024 datée du 15/06/2024. Vous trouverez en annexe une copie de la facture pertinente.

Comme vous le savez, nous vous avons fourni le delai de recouvrement du dossier R1184521. Or, malgré le rappel effectué le 15/06/2024 à laquelle une lettre de relance a été envoyée, nous constatons que la facture demeure impayée, et ce, bien que nous ayons rempli toutes nos obligations.

Ainsi, nous vous prions de nous faire parvenir un chèque certifié au montant de 32.857€ à l’ordre de notre entreprise dans les 10 jours de la réception de la présente mise en demeure. Le chèque devra être transmis au notre adresse. À défaut, une demande en justice pourrait être déposée contre vous, sans autre avis ni délai.

Soyez avisé que nous considérerons de bonne foi tout mode alternatif de règlement proposé. Nous sommes d’avis qu’il est dans l’intérêt de tous que cette situation puisse être réglée à l’amiable. En ce sens, nous vous invitons à communiquer avec nous si vous désirez discuter de la présente mise en demeure.

Nous vous invitons à ignorer la présente lettre si le paiement a été effectué avant la date de réception de cette communication.

VEUILLEZ AGIR EN CONSÉQUENCE.

Schutzmaßnahmen

Die Verhinderung solcher Malspam-Angriffe (bösartige Spam-Mails mit Links zum Herunterladen von Malware) erfordert einen mehrschichtigen Sicherheitsansatz. Nachfolgend effektive Schutzmaßnahmen:

1. E-Mail-Sicherheitsmaßnahmen

  • Erweiterte E-Mail-Filter – Nutzen Sie sichere E-Mail-Gateways und Spam-Filter, um Malspam-E-Mails zu blockieren.
  • Automatisches Herunterladen von Anhängen deaktivieren – Verhindern Sie, dass E-Mail-Clients verlinkte Dateien automatisch herunterladen.
  • Link-Sandboxing & URL-Analyse – Implementieren Sie Sicherheitslösungen, die Links in Echtzeit analysieren.
  • CIRCL bietet einen kostenlosen Online-Dienst zur Analyse von E-Mail-Anhängen an: pandora

2. Benutzerbewusstsein & Schulung

  • Sensibilisierungskampagnen – Schulen Sie Mitarbeiter darin, keine unbekannten Links zu klicken.
  • Links vor dem Klicken überprüfen – Mitarbeiter sollten Links vor dem Klicken mit der Maus überfahren.
  • Phishing-Simulationen – Regelmäßige Tests zur Erkennung verdächtiger E-Mails.
  • CIRCL bietet einen kostenlosen Online-Dienst zur Untersuchung von URLs an: lookyloo

3. Endpunktschutz & Netzwerksicherheit

  • URL-Blockierung & Web-Filter – Einsatz von Web-Proxies und Sicherheitstools zum Blockieren bösartiger Domains.
  • Anwendungs-Whitelisting – Nur genehmigte Anwendungen dürfen ausgeführt werden.
  • Erweiterter Endpunktschutz (EDR/NGAV) – Erkennung und Blockierung von Malware.

4. E-Mail-Authentifizierung & Schutz vor Spoofing

  • DMARC, DKIM und SPF implementieren – Schutz gegen E-Mail-Spoofing.
  • Markenschutz & Domain-Monitoring – Registrierung ähnlicher Domains zur Phishing-Prävention.
  • Korrekte DNS-Konfiguration - siehe TR-92

5. Zugriffskontrolle & Prinzip der minimalen Rechte

  • Einschränkung von Benutzerrechten – Keine Admin-Rechte ohne triftigen Grund.
  • Zusätzliche Authentifizierung – Verifikation für externe Links oder Downloads.
  • Deaktivierung von Makros & Skript-Autoausführung.

6. Allgemeine Sicherheitsmaßnahmen

  • Regelmäßige Software- und OS-Updates.
  • Unnötige Browser-Plugins deaktivieren.

7. Reaktion auf Vorfälle & Monitoring

  • SIEM-Überwachung – Erkennung ungewöhnlicher Aktivitäten.
  • Vorfallreaktionsplan – Infizierte Geräte schnell isolieren.

Maßnahmen bei einer Kompromittierung

  • Sofortige Trennung des betroffenen PCs vom Netzwerk (auch WLAN!).
  • Kontaktieren Sie Ihr Incident-Response-Team oder CIRCL.
  • IT-Team zur verstärkten Überwachung informieren.
  • Untersuchung möglicher weiterer betroffener Systeme.
  • Warnung an Kontakte, keine Links aus E-Mails Ihres Unternehmens zu öffnen.
  • Schulung der Mitarbeiter zur Wachsamkeit.
  • Meldung an die CNPD innerhalb von 72 Stunden bei Datenpannen.

Effektive Gegenmaßnahmen

Unwirksame Lösungen durch IT-Dienstleister

Ein mehrfacher Virenscan reicht nicht aus, da:
- Legitime RMM-Tools nicht erkannt werden.
- Versteckte Hintertüren oft unentdeckt bleiben.
- Angreifer schnell wieder Zugriff erlangen.

Erfolgreiche Maßnahmen

  • EDR-Lösung implementieren und RMM-Tools auf eine Allowlist setzen.
  • Verwenden Sie LuxTrust Mobile oder LuxTrust Scan anstelle einer Smartcard zur Authentifizierung (siehe LuxTrust-Dokumentation)
  • Smartcard aus dem Leser entfernen, wenn sie nicht benutzt wird.
  • 4-Augen-Prinzip bei Überweisungen einführen.
  • Zusätzliche Authentifizierungsfaktoren aktivieren.
  • Eine Bank wählen, die Empfänger prüft.

Wiederherstellung nach einer Kompromittierung

  • Sofort die Bank kontaktieren, um betrügerische Überweisungen zu stoppen.
  • Strafanzeige bei der Polizei erstatten.
  • CIRCL kontaktieren, falls IT-Sicherheitsberatung benötigt wird.
  • Das kompromittierte System vollständig neu installieren.
  • RDP-Zugriff überwachen.
  • Alle Passwörter zurücksetzen.
  • Zwei-Faktor-Authentifizierung (2FA) aktivieren.
  • Mitarbeiter sensibilisieren.

Fazit

Ein einfacher Virenscan löst das Problem nicht. Zur vollständigen Bereinigung muss das betroffene System komplett neu installiert werden.

IoC

Siehe MISP-Ereignis UUID 5f7819de-5656-4063-a76a-a39253ee5154, verfügbar auf MISP für den privaten Sektor.

Dokumentklassifikation

TLP:CLEAR – Freie Verbreitung unter Beachtung des Urheberrechts.

Revision

  • Version 1.0 - TLP:CLEAR - Erste Version - 26. Februar 2025