Gezielte Großkampagne mit gefälschten Einladungen zu Veranstaltungen gegen US-Organisationen

Anstatt sich auf eine einzige Methode zu verlassen, kombinieren die Angreifer den Diebstahl , die Abfangen örtern (OTP) und die unauffällige Bereitstellung (RMM)-Software in einem koordinierten Vorgang.

Diese mehrstufige Methode macht es deutlich schwieriger, die Kampagne zu entdecken, bevor ein echter Schaden entsteht.

Analysten , nachdem sie die gesamte Angriffskette in ihrer interaktiven Sandbox-Umgebung genau untersucht hatten. 𝗔𝗟𝗘𝗥𝗧: 𝗨𝗦-Zielgerichtete #𝗣𝗵𝗶𝘀𝗵𝗶𝗻𝗴 𝗖𝗮𝗺𝗽𝗮𝗶𝗴𝗻 nutzt Remote Access Blind Spots aus Eine groß angelegte Kampagne zielt mit gefälschten Veranstaltungseinladungen auf US-Organisationen ab.

Angreifer kombinieren Identitätsdiebstahl mit OTP… pic.twitter.com/RiX1OYhiS6

Angreifer kombinieren Identitätsdiebstahl mit OTP… pic.twitter.com/RiX1OYhiS6 — ANY.RUN (@anyrun_app) April 29, 2026 Ihre Ergebnisse zeigen, dass mehrere Phishing-Seiten deutliche Anzeichen einer KI-gestützten Erstellung aufweisen, was darauf hindeutet, dass die Angreifer automatisierte Prozesse nutzen, um überzeugende Inhalte mit hoher Geschwindigkeit zu generieren.

Der in diesen Seiten eingebettete Code bestätigt auch die Wiederverwendung bekannter Phishing-Kits, was es den Betreibern ermöglicht, schnell neue Phishing-Seiten zu erstellen und veraltete Infrastrukturen auszutauschen, sobald bestehende Domains ßer Betrieb genommen werden.

Die Infrastruktur der Kampagne fügt den Verteidigern eine weitere Ebene der Schwierigkeit hinzu. Phishing-Domains werden sorgfältig erstellt, um legitim auszusehen und ahmen vertrauenswürdige Unternehmenswebsites sehr genau nach.

Dieses überzeugende Erscheinungsbild verzögert die Erkennung

Dieses überzeugende Erscheinungsbild verzögert die Erkennung und gibt den Angreifern mehr Zeit in einer Zielumgebung, bevor jemand merkt, dass etwas nicht stimmt. Die eigentliche Gefahr kommt jedoch nach der Phishing-Seite.

Anstatt beim Diebstahl , installieren die Angreifer anstattdessen bekannte RMM-Tools wie ScreenConnect, ITarian und Datto RMM auf den Maschinen der Opfer und errichten so einen persistenten und schwer zu entdeckenden Fußabdruck innerhalb der Unternehmensumgebung.

Diese Tools sind Teil des Alltags vieler legitimer IT-Abteilungen, was gerade ihr so nützlich für Bedrohungsakteure macht. Sicherheitsfilter blockieren RMM-Software selten direkt, und ihre Präsenz neigt dazu, sich mit normaler administrativer Tätigkeit in einem Netzwerk zu vermischen.

Dies gibt Angreifern die Möglichkeit, einen

Dies gibt Angreifern die Möglichkeit, einen leisen, langfristigen Zugriff auf kompromittierte Systeme zu erhalten, ohne sofort Aufmerksamkeit zu erregen. Wie der Angriff verläuft Die Infektionssequenz beginnt, wenn ein Ziel auf einer CAPTCHA-Seite landet, die als Filter dient, um echte Benutzer.

Nachdem man diese passiert hat, wird dem Opfer eine scheinbar echte Einladung zu einem Event gezeigt. An diesem Punkt spaltet sich der Angriff in zwei unterschiedliche Pfade.

Auf einem Pfad wird das Opfer zu einer gefälschten Anmeldeseite weitergeleitet, wo Anmeldeinformationen erfasst werden. Auf dem anderen beginnt automatisch ein RMM-Installer auf dem Gerät des Opfers herunterzuladen, ohne dass vom Benutzer weitere Aktion erforderlich ist.

Der automatische Download ist besonders signifikant,

Der automatische Download ist besonders signifikant, da ein Zugriff hergestellt werden kann, bevor das Opfer etwas falsch merkt. Der Angreifer gewinnt früh in der Ausführungskette Fuß, lange bevor ein typischer Sicherheitsalarm ausgelöst würde.

Selbst wenn sich die Infrastruktur der Kampagne im Laufe der Zeit verschiebt, halten die Angreifer konsistente und wiederholbare Muster aufrecht.

Feste Ressourcenpfade wie /Image/*.png erscheinen über Phishing-Domains hinweg, und sequentielle Webanfragen, die von /favicon.ico über /blocked.html zu Phishing-Inhalten führen, bleiben über verschiedene Kampagnenversionen hinweg vorhersehbar. Diese stabilen Muster ermöglichen eine frühe Erkennung, noch bevor Anmeldedaten eingegeben werden.

Sicherheitsteams wird geraten, eng auf RMM-Tool-Installationen

Sicherheitsteams wird geraten, eng auf RMM-Tool-Installationen zu achten, die außerhalb genehmigter IT-Workflows erfolgen. Ausgehende Verbindungen zu RMM-Plattformen, die ücklich autorisiert wurden, sollten überprüft und eingeschränkt werden.

Das Markieren , die mit unbekannten Domains verknüpft sind, und das Beobachten , die bekannten Phishing-Mustern entsprechen, kann Teams helfen, diese Aktivität abzufangen, bevor sie die Phase des Credential Harvesting oder des Remote Access erreicht.

Sie uns auf

Der Beitrag Targeted Large-Scale Campaign Attacking U.S. Organizations with Fake Event Invitations erschien zuerst bei Cyber Security News.