[English]Ein Leser hat mir die Tage eine Beobachtung aus seinem IT-Umfeld mitgeteilt. Eine Mitarbeiterin wurde von einer regelrechten Spamwelle (mehr als 1.000/Stunde) überschwemmt. Alle Mails hatte irgend eine Bestätigung für eine Anmeldung, was bei mir einen bestimmten Verdacht weckt.
Anzeige
Beschreibung des Lesers
Der Blog-Leser berichtete, dass eine Mitarbeiterin aus der Personalabteilung innerhalb einer Stunde von über 1.400 E-Mails bombardiert worden sei. Die im Unternehmen eingesetzte CheckPoint-Lösung habe nicht alles abgefangen, aber Menge der SPAM-Mails sei brutal gewesen.
Spam-Mails; Zum Vergrößern klicken
Er hat mir den hier gezeigten Screenshot zukommen lassen und fragt, ob ich das von anderen Lesern auch gemeldet wurde – was ich verneinen muss. Der Leser hat dann die betreffende Mail-Adresse aus dem Exchange-Online heraus genommen, damit Ruhe ist.
Dazu schrieb der Leser, dass er eine solche Masse an SPAM noch nie im Unternehmen erlebt habe, zumal die IT die DMARC-, DKIM-, SPF-Records usw. ordentlich pflegen und eine CheckPoint-Lösung zur Filterung verwenden.
Anzeige
Mein Verdacht: Es wird verschleiert
Ich muss eine Weile zurück gehen und erneut meinen Blog-Beitrag Massen-Newsletter-Spam und der Paypal-Konten-Hack heranziehen. Ein Nutzer berichtete, dass es Kunde von ihm mit Newsletter-Anmeldungen zugespammt wurde (genau wie in obigem Bild). Im Mail-Postfach trudelten binnen Stunden mit zigtausend eMails (Newsletter-Anmeldungen, Kontaktformularantworten) verschiedenster Herkunft ein.
Da sind Spambots unterwegs, die Kontaktformulare von Homepages exploiten/antesten und zum Spamversand missbrauchen. Das ist bekannt (da wird das CGI-Skript formmail.pl zum Spamversand missbraucht).
Und am Ende des Tages stellte sich das Ganze als Hack des PayPal-Kontos des betroffenen Nutzers heraus. Der Nutzer sollte durch die Flut der SPAM-Meldungen davon abgehalten werden, die Warnmeldungen zum Fremdzugriff auf das PayPal-Kontos zu sehen – diese steckten ja zwischen den vielen SPAM-Meldungen.
Ergänzungen des Lesers
Ich hatte den Leser auf das obige Thema hingewiesen. Er meinte in seiner Antwort, dass es gut möglich sei, dass es kein riesiger oder groß verbreiteter Versuch, Zugangsdaten phishen oder SPAM unterzujubeln, gewesen ist, sondern eher eine gezielte Aktion.
Er hat einige Absender-IP-Adressen nachverfolgt. Es kommt ihm so vor, als ob Konten einiger Anbieter für Massenmail gehackte wurden oder noch sind. Viele der SPAM-Mails seien von MailChimp, MailChannels, oder von SendGrid gekommen. Er hat bei diesen Anbieter eine abuse-Meldeung abgesetzt.
Zum Verdacht eines Kontenhacks schreibt er, dass die Mitarbeiter im Unternehmen auch ziemlich geschult seien und da eine gewisse Achtsamkeit haben. Die betroffene Person habe nirgendwo die Tage/Wochen ihre Zugangsdaten oder Firmenkontendaten weitergegeben. Die Sicherheitslösungen mit MDR und SOC im Mail-Strom habe jetzt auch nichts erkannt.
Erwähnungen bei reddit.com
Der Leser hat im Nachgang dann noch etwas in Richtung "Angriff durch SPAM verschleiern" gesucht und wurde bei reddit.com fündig. Er schrieb im Nachgang, dass der SPAM von der Black Basta-Ransomware-Gruppe kommen könne.
Fall #1 auf reddit.com
Im reddit.com-Thread End Users getting email bombed beschreibt ein Administrator ebenfalls das obige Problem vor ca. einem Monat. Einige Benutzer aus seinem Unternehmen wurden mit Tausenden von Spam-E-Mails von verschiedenen Websites bombardiert. Der Betroffene fragt, ob jemand eine gute Möglichkeit kenne, dies zu verhindern.
Im Thread bestätigt ein anderer Nutzer, dass dies in letzter Zeit auch bei ihm der Fall sei. Während des E-Mail-Bombing erhielten die Benutzer einen Audioanruf von externen Dritten, die behaupteten, sie seien von der IT-Abteilung und müssten sich per Fernzugriff auf die Systeme schalten, um das Problem zu beheben.
Dieser Benutzer bestätigte, dass dieser Angriff in der Vergangenheit auch dazu verwendet wurde, um zu verhindern, dass Personen eine legitime E-Mail sehen, die sie auf einen gerade stattfindenden Betrug aufmerksam macht.
Diese Art des Angriffs sei schwer zu blockieren, da es sich um einen Abonnement-Angriff handelt. Das E-Mail-Konto wird bei News-Groups, Newslettern usw. von legitimen Diensten auf der ganzen Welt angemeldet. Manchmal kann man durch Filterregeln einen Teil des SPAMS abfangen.
Fall #2 auf reddit.com
Vom Blog-Leser wurde auf einen zweiten reddit.com-Thread Weird Spam influx + teams calls?? Help hingewiesen, der vor zwei Monaten erstellt wurde und ähnliches beschreibt. Er wird mit Spam-E-Mails überschüttet, kann diese aber nicht alle blockieren, weil sie von überall her kommen und keine Gemeinsamkeiten aufweisen (er habe angefangen, Sprachen und Länder zu blockieren).
Auch dort bestätigen andere Nutzer diese Beobachtung und erwähnen, dass das Ziel oft sei, das Opfer von was anderem abzulenken.
Black Basta-Angriffstaktik
In den Reaktionen auf reddit.com gibt es dann noch einen Verweis auf den Beitrag Ongoing Social Engineering Campaign Linked to Black Basta Ransomware Operators von Rapid 7 aus dem Mai 2024. Die Sicherheitsforscher beschreiben, dass Rapid7 eine laufende Social-Engineering-Kampagne identifiziert habe, die damals auf mehrere Managed-Detection-and-Response-Kunden (MDR) abzielte.
Der Bedrohungsakteur (genannt wurde Black Basta) überflutet das E-Mail-Postfach eines Benutzers mit Junk-Mails und ruft das Opfer dann an, um Hilfe anzubieten. Der Angreifer fordert die betroffenen Benutzer auf, eine Fernüberwachungs- und -verwaltungssoftware wie AnyDesk herunterzuladen oder die in Microsoft integrierte Quick Assist-Funktion zu nutzen, um eine Remote-Verbindung herzustellen.
Sobald eine Remote-Verbindung hergestellt wurde, lädt der Bedrohungsakteur Nutzdaten von der Infrastruktur des Benutzers herunter, um die Anmeldedaten des betroffenen Benutzers abzufangen und den Zugang betroffenen Benutzers für das Eindringen zu nutzen. In einem Fall wurde auch beobachtet, dass der Angreifer Cobalt Strike Beacons auf andere Ressourcen innerhalb des angegriffenen Netzwerks einsetzte. Details sind dem verlinkten Beitrag zu entnehmen.
Ergänzung: Frank Carius hat das Thema Mail-Bombing jetzt auch in seinem Blog aufgegriffen und gibt noch einige Zusatzinformationen.
Anzeige
das nennt sich subscription bombing – muss nicht zwingend ein Angriff sein. ich habe es vor kurzem erlebt, ein ex Mitarbeiter hat die Office Adresse des Unternehmens auf Listen gesetzt welche dann von Bots zur Anmeldung bei zig 1000 Seiten durchgerödelt sind, das dauerte rund 24 Stunden, mit einem gesamt Volumen von 70000 Mails, der Peak war ca. 15000 pro Stunde. da hier ein PROXMOX Mail Gateway vorgeschalten war, wurden alle Mails an Office in die Quarantäne gestellt, und nur per stündlichen Report durch manuelle Auswahl zugestellt, die restlichen Mails wurden dann in einem Schlag auf die Blacklist gesetzt, heute kommen zwar immer noch ca. 50 Mails pro Tag welche unerwünscht, aber eben kein echter Spam sind, damit kann man leben.
Kann auch einfach jemand sein der den Admin oder Mitarbeiter ärgern will.
Einfach unter https://mailbait.info/ die Empfänger Mail eintragen, und schon wird das Postfach in hunderten Verteilern angemeldet und mit Spam geflutet.
Wird gern für sogenannte Revenge Spam Aktionen genutzt, muss zugeben, auch ich hab da mal eine Mailadresse eingetragen die über Tage hinweg von CEO Fraud Spammern als Antwortadresse genutzt wurde.
Bei uns gab/gibt es tatsächlich ähnliche Fälle, zwei spezifische Adressen die immer mal wieder eine Mischung aus Backscatter, fake Login-Bestätigungen und tatsächlichen Virenmails erhalten – scheinbar zu zufälligen Zeitpunkten mehrmals im Jahr. Dazu kommt noch ein anderer User, der seit etwa einem Monat täglich fake Login-Bestätigungen bekommt, die alle letztendlich auf WordPress verweisen.
Letztendlich aber gut für mich, die Adressen sind jetzt meine Honeypots für Spam!
Moin,
wurde vorher bereits bei Heise beschrieben und vor ca. 10 Tagen genau so angewendet. (Black Basta Angriff)
1. Benutzer wurde mit SPAM Mails überhäuft
2. Es erfolgte ein Anruf via Teams von extern
3. Anrufer gibt sich als Microsoft Support aus. um "das Problem" zu lösen
4. Start von Teamviewer wurde angefordert
5. DLL wurde auf den PC heruntergeladen (Erkennung zu der Zeit nur bei Virustotal nur bei Crowdstrike / Falcon)
6. Unspezifisches Fenster erschien mit Kennwort eingeben
7. Selbstgebasteltes Fenster im Vordergrund > Hinweis des Angreifers, es dauert etwas, Benutzer soll einen Kaffee trinken gehen
8. Weiteres vordringen wurde gestoppt
https://www.virustotal.com/gui/file/abf89bb5875fb5c77c8f9965c5cdc36969f8787401933a96c03eb56ddadb47db/detection
Hi, vielen Dank, wir haben heute einen ähnlichen Fall, User mit >2000 mails seit gestern, fast alles Subscription-Bestätigungen, weder die ESA noch MS erkennen den Kram als Spam. Mal schauen, worauf es bei uns hinausläuft.
Danke für den Post!
Viele Grüße
Markus
Hi zusammen,
wurde bei uns in einem ähnlichen Ausmaß vor wenigen Tagen durchgeführt. Spam / Newsletter-Wellen von ca. 1400 verschiedenen Domains. Nachfolgende Aktionen wie oben erwähnt (z.B. Anrufe via Teams etc.) erfolgten jedoch bis jetzt nicht. Falls jemand Interesse an den betroffenen Domains hat, die zum Spamversand genutzt worden sind: https://github.com/fxschaefer/RegBomber_2024/blob/main/RegBomber_1124.csv
Hieraus haben wir uns um eine Blacklist gebaut um den schaden zu begrenzen.
Moin zusammen!
Das ist tatsächlich eine neue Scammer-Taktik!
Zuerst wird das Postfach eines Mitarbeiters zugebombt. Der Scammer/Hacker erwartet dann eine Reaktion der IT, irgendwelchen Maßnahmen bis hin zur Sperrung des Kontos.
Ca. 24 Std. später wird dann der Mitarbeiter per Audio-Call (Telefon, Teams etc.) von einem vermeintlichen "Kollegen aus der IT" kontaktiert, der sich des Problems mit den E-Mails annehmen will. Der vermeintliche IT-Kollege (in Wirklichkeit Scammer) fordert dann natürlich Zugriff auf den PC an und wenn dann nicht aufgelegt/abgebrochen wird, fällt das Kind in den Brunnen.
Das gesamte Szenario wird auch in folgendem Blog-Beitrag ausführlich und wunderbar von einem IT-Mitarbeiter eines beinahe kompromittierten Unternehmens erzählt:
https://open.spotify.com/show/4ooV9mM8Qiyfkj9jUkdZjj
Naja, wenn ich im Screenshot schon links oben die Logos sehe und im Text dann von CheckPoint & Co lese. Und Ihr fragt ernsthaft, warum Euere Mail kaputt ist?
Die propagierte Lösung "Email-Adresse rausnehmen" ist einfach nur Total-Versagen.
P.S: Jeder darf gerne meine Mail bei mailbait eintragen…
Was können sie alternativ vorgeschaltet empfehlen?
Interessant. Ein Bekannter von mir hat mich vor einigen Tagen kontaktiert, weil er in seinem freenet Email Konto, ne ganze Anzahl an Emails vom Microsoft account team bekommen hat. Wobei er gar kein live, hotmail, oder outlook Konto besitzt. Es sollte eine Authentifizierung per 6stelliger Pin, für die entsprechende Email gemacht werden.
Normalerweise hat das jeder schon mal machen müssen, wer ein Konto bei MS hat. Ich ebenso. Daher sah auch die Mail, als auch der Header so aus, wie man es von MS kennt. Daher nicht ungewöhnliches.
Danke für den Artikel.
Wir hatten vor 2 Tagen einen ganz ähnlichen Fall auf 3 ausgewählte User in unserem Netzwerk
Bei mir privat kommen gerade fast täglich mails von binomo rein. Irgend so ein windigen trader.
die Mails sind die Aufforderung zur Bestätigung der Mail Adresse.
Hi…
Die (eigene) E-Mail-Adresse schonmal auf Identity Leaking, bspw. bei HaveIBeenPwned (*1), gecheckt?
Leider ist ja momentan der Identity Leak Check beim Hasso-Plattner-Institut (HPI) durch den Ausfall an der Uni Potsdam nicht erreichbar, aber alternativ kann man dazu auch den von der Uni Bonn (*2) nutzen.
*1 https://haveibeenpwned.com/
*2 https://leakchecker.uni-bonn.de/de/index
Update:
Mittlerweile scheint zumind. das Portal von HPI wieder vollständig – und insbes. die Security-Subebene mit dem Identity Leak Checker(*) – verfügbar zu sein.
* https://sec.hpi.de/ilc/