Ohvritel paluti teha telefonikõne, mis suunab nad pahavara allalaadimise lingile.
Uue tagasihelistamisega andmepüügikampaaniaga kehastatakse silmapaistvaid turvaettevõtteid, et meelitada potentsiaalseid ohvreid tegema telefonikõnet, mis juhendab neid pahavara alla laadima.
CrowdStrike Intelligence'i teadlased avastasid kampaania, kuna CrowdStrike on tegelikult üks ettevõtetest, teiste turvafirmade hulgas, keda kehastatakse, ütlesid nad hiljutises ajakirjas. blogipostitus.
Teadlased kirjutasid, et kampaanias kasutatakse tüüpilist andmepüügimeili, mille eesmärk on petta ohver kiiresti vastama – antud juhul vihjab sellele, et saaja ettevõtet on rikutud, ja nõuab, et nad helistaksid sõnumis sisalduvale telefoninumbrile. Kui sihitud isik helistab sellele numbrile, jõuab ta kellegini, kes suunab ta pahatahtliku kavatsusega veebisaidile, ütlesid nad.
"Ajalooliselt üritavad tagasihelistamiskampaania operaatorid veenda ohvreid installima kommertstarkvara RAT-i, et saada võrgus esialgne tugi," kirjutasid teadlased postituses.
Teadlased võrdlesid kampaaniat eelmisel aastal avastatud kampaaniaga BazarCall poolt Nõustaja Ämblik ohurühm. See kampaania kasutas sarnast taktikat, et ärgitada inimesi helistama, et loobuda võrguteenuse uuendamisest, mida saaja väidetavalt praegu kasutab, selgitasid Sophose teadlased.
Kui inimesed helistaksid, annaks sõbralik inimene teisel pool neile veebisaidi aadressi, kus peagi ohver saaks väidetavalt teenuse tellimusest loobuda. See veebisait viis nad aga pahatahtliku allalaadimiseni.
CrowdStrike tuvastas ka selle aasta märtsis kampaania, milles ohus osalejad kasutasid AteraRMM-i installimiseks tagasihelistamiskampaaniat, millele järgnes Cobalt Strike, et aidata külgsuunas liikumisel ja juurutada täiendavat pahavara, ütlesid CrowdStrike'i teadlased.
Usaldusväärse partnerina esinemine
Teadlased ei täpsustanud, milliseid teisi turvaettevõtteid kampaanias kehastati, mille nad tuvastasid 8. juulil. Oma ajaveebipostitusse lisasid nad ekraanipildi CrowdStrike'i kehastavatele adressaatidele saadetud e-kirjast, mis näib ettevõtte logo kasutamisel õigustatud.
Täpsemalt teavitab meil sihtmärki, et see pärineb nende ettevõtte „andmeturbeteenuste sisseostjalt” ja et võrgusegmendis, millesse teie tööjaam kuulub, on tuvastatud „ebanormaalne tegevus”.
Sõnumis väidetakse, et ohvri IT-osakonda on juba teavitatud, kuid CrowdStrike'i andmetel on nende osalemine nende individuaalse tööjaama auditeerimiseks vajalik. E-kirjas antakse adressaadile korraldus helistada antud numbril, et seda saaks teha ehk siis, kui toimub pahatahtlik tegevus.
Kuigi teadlastel ei õnnestunud kampaanias kasutatud pahavara varianti tuvastada, usuvad nad suure tõenäosusega, et see sisaldab "tavalisi legitiimseid kaughaldustööriistu (RAT) esmaseks juurdepääsuks, riiulitelt läbitungimise testimise tööriistu külgsuunas liikumiseks, ja lunavara kasutuselevõtt või andmete väljapressimine,” kirjutasid nad.
Lunavara levitamise võimalus
Teadlased hindasid ka "mõõduka kindlusega", et kampaanias osalevad tagasihelistamisoperaatorid "kasutavad tõenäoliselt lunavara oma tegevuse raha teenimiseks," ütlesid nad, "kuna 2021. aasta BazarCalli kampaaniad viivad lõpuks Jätkuvalt lunavara," nad ütlesid.
"See on esimene tuvastatud tagasihelistamiskampaania, mis kehastab küberjulgeoleku üksusi ja millel on suurem potentsiaalne edu, arvestades küberrikkumiste kiireloomulisust," kirjutasid teadlased.
Lisaks rõhutasid nad, et CrowdStrike ei võta kunagi klientidega sellisel viisil ühendust, ja kutsusid kõiki selliseid kirju saanud kliente üles edastama andmepüügimeilid aadressil csirt@crowdstrike.com.
See kindlus on võtmetähtsusega, eriti kui küberkurjategijad on nii osavad sotsiaalse inseneride taktikas, mis näivad pahatahtlike kampaaniate pahaaimamatute sihtmärkide jaoks täiesti legitiimsed, märkis üks turvaspetsialist.
"Tõhusa küberjulgeolekualase teadlikkuse tõstmise koolituse üks olulisemaid tahke on kasutajate eelnev harimine selle kohta, kuidas nendega ühendust võetakse või mitte ning millist teavet või toiminguid neilt võidakse paluda," ütles küberturvalisuse ettevõtte lahenduste arhitektuuri asepresident Chris Clements. Cerberus Sentinel, kirjutas Threatpostile saadetud meilis. "On oluline, et kasutajad mõistaksid, kuidas seaduslikud sise- või välisosakonnad võivad nendega ühendust võtta, ja see läheb kaugemale küberturvalisusest."
Registreeruge kohe sellele tellitavale üritusele: Liituge Threatposti ja Intel Security esindaja Tom Garrisoniga Threatposti ümarlaual, kus arutatakse uuendusi, mis võimaldavad sidusrühmadel dünaamilise ohumaastiku ees püsida. Samuti saate teada, mida Intel Security õppis nende viimasest uuringust koostöös Ponemon Instituega. VAATA SIIN.
- blockchain
- coingenius
- krüptovaluuta rahakotid
- krüptovahetus
- küberturvalisus
- küberkurjategijad
- Küberturvalisus
- sisejulgeoleku osakond
- digitaalsed rahakotid
- tulemüüri
- hacks
- Kaspersky
- malware
- mcafee
- NexBLOC
- Platon
- plato ai
- Platoni andmete intelligentsus
- Platoni mäng
- PlatoData
- platogaming
- VPN
- Veebi turvalisus
- kodulehel turvalisus
- sephyrnet
