Cybersicherheitsforscher haben eine anhaltende Spionagekampagne aufgedeckt, bei der unbekannte Angreifer mindestens fünf Monate lang Zugriff auf das **Outlook**-Postfach eines leitenden Börsenmanagers hatten. Der von **Symantec** und dem Threat Hunter Team von **Carbon Black** detailliert beschriebene Einbruch beinhaltete die heimliche Exfiltration des gesamten Posteingangs des Managers, der über Consumer-Cloud-Dienste geleitet wurde, um bösartige Aktivitäten zu verschleiern. ### Heimliche Datenexfiltration Die Angreifer kopierten den Inhalt des Postfachs akribisch in kleinen, wiederholten Stapeln, um sicherzustellen, dass der Datenverkehr nahtlos in normale Cloud-Operationen überging. Diese Methode, kombiniert mit der Nutzung legitimer Dienste wie **Dropbox** und **OneDrive**, unterstreicht die bewusste Anstrengung, unentdeckt zu bleiben und die Zuordnung zu erschweren. Die Art der kompromittierten Daten – potenziell nicht-öffentliche Listing-Details, Durchsetzungsangelegenheiten, Vertragsbedingungen und marktbeeinflussende Pläne – deutet stark auf ein Ziel der Informationsbeschaffung über finanziellen Diebstahl hin. ### Tiefgreifender Zugriff und unklare Ursprünge Die anfängliche bösartige Aktivität wurde am 10. Oktober 2025 beobachtet, zu diesem Zeitpunkt hatten die Angreifer bereits SYSTEM-Privilegien auf dem Rechner des Managers erlangt. Sie setzten Binärdateien ein, die als Updater von **Adobe** und **OneDrive** getarnt waren, was auf eine tiefe Kompromittierung hindeutet. Während der anfängliche Eintrittspunkt unbekannt bleibt, vermutet **Symantec**, dass er wahrscheinlich aus lateraler Bewegung innerhalb des Netzwerks stammte, ausgehend von einem zuvor kompromittierten Gerät. Die Operation eskalierte am 12. November, als die Angreifer ein **Dropbox**-API-Token erhielten und begannen, Daten über `curl` hochzuladen. Ihr Hauptwerkzeug für die Exfiltration war ein benutzerdefinierter Mailbox-Dieb, der auf **Aspose** basierte, einer legitimen .NET-Bibliothek zum Lesen von **Outlook** OST- und PST-Dateien. Dieses Werkzeug wurde periodisch ausgeführt und extrahierte neue E-Mail-Daten in bestimmten Datumsbereichen, um eine nahezu kontinuierliche, aber diskrete Kopie des Postfachs zu gewährleisten. ### Ausweichtaktiken und Werkzeuge Um die Tarnung aufrechtzuerhalten, konfigurierten die Angreifer geplante Aufgaben, um legitime Systemdienste von **Adobe**, **Lenovo** und **OneDrive** zu imitieren. Für die **OneDrive**-Exfiltration verbanden sie sich direkt mit hartkodierten **Microsoft**-IP-Adressen und umgingen DNS-Abfragen, die Perimeter-Tools überwachen oder blockieren könnten. Obwohl sie kurzzeitig den öffentlichen Dateihoster `temp.sh` testeten, gaben sie ihn zugunsten der diskreteren Cloud-Dienste auf. Weitere Analysen des Einbruchs deckten ein breiteres Toolkit auf, darunter **FRPC** zum Tunneln von Datenverkehr, **Secretsdump** zum Extrahieren von Windows-Anmeldeinformationen, **SharpDecryptPwd** zum Wiederherstellen gespeicherter Anwendungspasswörter und ein Werkzeug zur Umgehung der Windows-Benutzerkontensteuerung (UAC). Die Verwendung von öffentlichen Werkzeugen und Consumer-Cloud-Diensten hat bisher eine eindeutige Zuordnung zu einer bestimmten Bedrohungsgruppe verhindert. ### Über Patches hinaus: Die Notwendigkeit der Überwachung Dieser Vorfall ist besonders bemerkenswert, da er keine Ausnutzung einer neu entdeckten Schwachstelle oder einer **CVE** beinhaltete. Stattdessen handelte es sich um einen gezielten Einbruch in das Postfach einer Person, was unterstreicht, dass traditionelles Patching allein solche Bedrohungen nicht mindern kann. Die Verteidigungslast verlagert sich eindeutig auf robuste Überwachungs- und schnelle Reaktionsfähigkeiten. Für IT-Sicherheitsexperten, die Organisationen mit marktbeeinflussenden Informationen schützen – wie Börsen, Regulierungsbehörden oder Finanzunternehmen – ist Wachsamkeit von größter Bedeutung. Wichtige Indikatoren für einen Kompromittierung sind ungewöhnliche Postfach-Exportaktivitäten, verdächtige **Outlook**-Zugriffsmuster, Uploads auf persönliche **Dropbox**- oder **OneDrive**-Konten, unerwartetes Tunneln und das Extrahieren von Anmeldeinformationen auf Systemen, die von privilegierten Benutzern verwendet werden. Proaktive Überwachung dieser Verhaltensweisen ist entscheidend, um ähnliche hochentwickelte Spionageversuche zu erkennen und zu vereiteln.