Executive Summary
- Um den 07.04.2022 herum verbreitete eine aufdringliche Malspam-Kampagne die Formbook-Malware über bösartige Word-Dokumente, die CVE-2017-11882 ausnutzen, so dass Word-Dokumente in diesem Monat das am häufigsten verwendete Dateiformat bei Angriffen waren.
- Am 22.04.20 begannen die Betreiber des Emotet-Botnets, LNK-Dateien für die Verbreitung per E-Mail zu nutzen. Am Ende des Monats wechselten sie jedoch wieder zu bösartigen XLS-Dokumenten.
Zusammenfassung
In dieser Ausgabe unseres monatlichen Berichts über E-Mail-Bedrohungen geben wir einen Überblick über die im April 2022 beobachteten E-Mail-Bedrohungen und vergleichen sie mit den Bedrohungen des Vormonats.
Der Bericht bietet Einblicke in:
- Unerwünschte E-Mails nach Kategorie
- Bei Angriffen verwendete Dateitypen
- Branchen Email Threat Index
- Angriffstechniken
- Imitierte Firmenmarken oder Organisationen
- Hervorgehobene Threat Email Kampagnen
Unerwünschte E-Mails nach Kategorie
Die folgende Tabelle zeigt die Verteilung der unerwünschten E-Mails nach Kategorien.
| E-Mail-Kategorie | % |
|---|---|
| Rejected | 80.58 |
| Spam | 13.88 |
| Threat | 4.71 |
| AdvThreat | 0.81 |
| Content | 0.03 |
Das folgende Zeithistogramm zeigt das E-Mail-Volumen pro Kategorie und Stunde.
Der Anstieg der abgelehnten E-Mails zwischen dem 07.04.2022 und dem 12.04.2022 ist auf eine groß angelegte Sextortion-E-Mail-Betrugskampagne in deutscher Sprache zurückzuführen.
Methodik
Die aufgelisteten E-Mail-Kategorien entsprechen den E-Mail-Kategorien, die im Email Live Tracking des Hornetsecurity Control Panels aufgelistet sind. Unsere Benutzer sind also bereits mit ihnen vertraut. Für andere sind die Kategorien:
| Kategorie | Beschreibung |
|---|---|
| Spam | Diese E-Mails sind unerwünscht und haben häufig einen werblichen oder betrügerischen Charakter. Die E-Mails werden gleichzeitig an eine große Anzahl von Empfängern verschickt. |
| Content | Diese E-Mails haben einen ungültigen Anhang. Welche Anhänge ungültig sind, legen die Administratoren im Modul Content Control fest. |
| Threat | Diese E-Mails enthalten gefährliche Inhalte wie bösartige Anhänge oder Links oder werden zur Begehung von Straftaten wie Phishing verschickt. |
| AdvThreat | Bei diesen E-Mails hat Advanced Threat Protection eine Bedrohung erkannt. Die E-Mails werden für illegale Zwecke eingesetzt und nutzen ausgeklügelte technische Mittel, die nur mithilfe von fortgeschrittenen dynamischen Verfahren abgewehrt werden können. |
| Abgelehnt | Diese E-Mails werden aufgrund externer Merkmale, die z. B. die Identität des Absenders betreffen können, im Laufe des SMTP-Dialogs direkt von unserem E-Mail-Server abgelehnt und nicht weiter analysiert. |
Bei Angriffen verwendete Dateitypen
Die folgende Tabelle zeigt die Verteilung der in Angriffen verwendeten Dateitypen.
| Dateityp (verwendet in bösartigen E-Mails) | % |
|---|---|
| Word | 47.2 |
| Archive | 19.0 |
| 11.5 | |
| HTML | 9.2 |
| Excel | 6.1 |
| Executable | 2.6 |
| Disk image files | 2.4 |
| Other | 1.3 |
| Script file | 0.4 |
| 0.1 | |
| LNK file | 0.1 |
Das folgende Histogramm zeigt das E-Mail-Volumen pro Dateityp, das bei Angriffen innerhalb von sieben Tagen verwendet wird.
Der Anstieg um den 07.04.2022 kann auf eine große und sehr penetrante Malspam-Kampagne zurückgeführt werden, bei der die Formbook-Malware über bösartige Word-Dokumente unter Ausnutzung von CVE-2017-11882 verbreitet wurde.
Branchen Email Threat Index
Die folgende Tabelle zeigt unseren Branchen-E-Mail-Bedrohungsindex, der auf der Anzahl der schadhaften E-Mails im Vergleich zu den gültigen E-Mails der einzelnen Branchen (im Median) basiert.
| Branchen | Anteil der Threat Emails an Threat und Gültigen Emails |
|---|---|
| Manufacturing industry | 5.3 |
| Healthcare industry | 5.2 |
| Research industry | 5.0 |
| Automotive industry | 4.9 |
| Media industry | 4.5 |
| Education industry | 4.3 |
| Utilities | 4.1 |
| Construction industry | 4.0 |
| Professional service industry | 3.9 |
| Mining industry | 3.9 |
| Retail industry | 3.8 |
Das folgende Balkendiagramm visualisiert die E-Mail-basierte Bedrohung für jede Branche.
Die Top 3 der Branchen in unserem E-Mail-Bedrohungsindex bleiben unverändert. Allerdings ist die Forschungsbranche von Platz 1 auf Platz 3 zurückgefallen.
Methodik
Unterschiedlich große Organisationen erhalten eine unterschiedliche absolute Anzahl von E-Mails. Um Organisationen zu vergleichen, haben wir daher den prozentualen Anteil der Threat E-Mails an den Threat und Gültigen E-Mails jeder Organisation berechnet. Anschließend berechnen wir den Median dieser Prozentwerte über alle Organisationen innerhalb derselben Branche, um den endgültigen Threat Index für die Branche zu ermitteln.
Angriffstechniken
Die folgende Tabelle zeigt die bei Angriffen verwendete Angriffstechnik.
| Angriffstechnik | % |
|---|---|
| Phishing | 37.7 |
| Other | 29.8 |
| URL | 9.8 |
| Advance-fee scam (dt. Vorschussbetrug) | 8.1 |
| Maldoc | 7.4 |
| Extortion | 2.9 |
| Executable in archive/disk-image | 2.8 |
| Impersonation | 1.6 |
Das folgende Zeithistogramm zeigt das E-Mail-Volumen pro eingesetzter Angriffstechnik pro Stunde.
Der Anstieg der verwendeten Maldocs (bösartige Dokumente) kann auf die oben erwähnte groß angelegte Formbook-Kampagne zurückgeführt werden. Die Maldocs der Formbook-Kampagne sind auch im Datenplot um 2022-04-07 deutlich zu erkennen.
Imitierte Firmenmarken oder Organisationen
Die folgende Tabelle zeigt, welche Firmenmarken unsere Systeme am häufigsten bei Impersonationsangriffen entdeckt haben.
| Imitierte Firmenmarke oder Organisation | % |
|---|---|
| Sparkasse | 77.3 |
| Amazon | 5.0 |
| Other | 7.2 |
| 3.0 | |
| Postbank | 2.2 |
| Deutsche Post / DHL | 2.0 |
| Dropbox | 1.1 |
| Netflix | 0.7 |
| Microsoft | 0.6 |
| UPS | 0.5 |
| Fedex | 0.4 |
Das folgende Zeithistogramm zeigt das E-Mail-Volumen für Firmenmarken, die bei Impersonationsangriffen entdeckt wurden, pro Stunde.
Die deutsche Sparkasse ist nach wie vor die am häufigsten für Angriffe missbrauchte Einrichtung.
Hervorgehobene Threat Email Kampagnen
Diesen Monat möchten wir die Emotet LNK-Datei Kampagne hervorheben. Emotet ist eine bösartige Software, die dazu verwendet wird, persönliche Daten von infizierten Computern zu stehlen. Es handelt sich um eine Art Trojanisches Pferd, das über Spam-E-Mails verbreitet wird. Emotet kann auch dazu verwendet werden, andere Arten von Malware auf einem infizierten Computer zu installieren, beispielsweise Ransomware.
Am 2022-04-22 begannen die Betreiber des Emotet-Botnetzes, LNK-Dateien zu verwenden, um die Emotet-Malware über E-Mails zu verbreiten. Zu diesem Zweck ersetzten sie ihre zuvor verwendeten bösartigen XLS-Dokumente durch eine LNK-Datei. LNK-Dateien sind Verknüpfungen, die auf andere Dateien verweisen. Diese Dateien können jedoch auch Befehle in ausführbare Dateien einschleusen. Auf diese Weise kann Malware ohne das Wissen des Benutzers auf dessen Computer installiert werden. Wenn ein Benutzer eine .lnk-Datei von einer nicht vertrauenswürdigen Quelle erhält, sollte er sie nicht öffnen.
Die E-Mails, die die bösartigen LNK-Dateien von Emotet enthalten, folgen demselben Schema zur Entführung von E-Mail-Konversationen wie die regulären Emotet-E-Mails. Die LNK-Malware wurde in der Regel dort versendet, wo auch das bösartige XLS-Dokument platziert wird, d. h. in einigen Fällen direkt als Anhang an die E-Mail, in anderen Fällen jedoch in einer kennwortgeschützten ZIP-Datei mit dem in der E-Mail angegebenen Kennwort.
Die LNK-Dateien wiesen unterschiedliche Varianten auf. Alle verwendeten Windows\system32\cmd.exe als Zieldatei für das LNK. Die Befehlszeilenargumente des LNK wurden dann verwendet, um cmd.exe Befehle zur Ausführung zu übergeben.
In einer Variante wurde ein VBS-Skript an das Ende der LNK-Datei angehängt, das über findstr extrahiert und in eine .vbs Datei geschrieben wurde, die dann über die Befehlszeilenargumente in der LNK-Datei ausgeführt wurde.
Andere Varianten verwendeten Powershell in den Befehlszeilenargumenten der LNK-Dateien, um einen Download des Emotet-Laders auszuführen.
Das folgende Histogramm zeigt das E-Mail-Volumen für die LNK-E-Mail-Kampagne von Emotet pro 3 Stunden im Vergleich zu seiner XLS-Kampagne.
Wir gehen davon aus, dass die Betreiber von Emotet wieder auf XLS-Dateien umgestiegen sind, weil ihre LNK-Dateien eine viel höhere Erkennungsrate bei den Sicherheitsanbietern hatten.
