کمپین فیشینگ «بازگشت به تماس» جعل هویت شرکت‌های امنیتی است

تمبر زمان: 12 ژوئیه 2022، 7:43 صبح
گره منبع: 1574588

به قربانیان دستور داده شد که یک تماس تلفنی برقرار کنند که آنها را به پیوندی برای دانلود بدافزار هدایت کند.

یک کمپین فیشینگ پاسخ به تماس جدید، جعل هویت شرکت‌های امنیتی برجسته است تا سعی کند قربانیان احتمالی را فریب دهد تا یک تماس تلفنی برقرار کنند و به آنها دستور دانلود بدافزار را بدهد.

محققان در CrowdStrike Intelligence این کمپین را کشف کردند زیرا CrowdStrike در واقع یکی از شرکت هایی است که در میان سایر شرکت های امنیتی جعل هویت می شود. پست وبلاگ.

محققان نوشتند که این کمپین از یک ایمیل فیشینگ معمولی استفاده می کند که هدف آن فریب دادن قربانی برای پاسخ فوری است - در این مورد، به این معنی که شرکت گیرنده نقض شده است و اصرار دارد که آنها با شماره تلفن موجود در پیام تماس بگیرند. به گفته آنها، اگر شخصی که هدف قرار گرفته است با شماره تماس بگیرد، به شخصی می رسد که او را با نیت مخرب به یک وب سایت هدایت می کند.

خبرنامه Infosec Insiders

محققان در این پست نوشتند: «از لحاظ تاریخی، اپراتورهای کمپین پاسخ به تماس تلاش می‌کنند قربانیان را متقاعد کنند تا نرم‌افزار تجاری RAT را برای به دست آوردن جایگاه اولیه در شبکه نصب کنند.

محققان این کمپین را به کمپینی که سال گذشته کشف شد تشبیه کردند بازار کال توسط عنکبوت جادوگر گروه تهدید محققان Sophos در آن زمان توضیح دادند که این کمپین از تاکتیک مشابهی برای ترغیب مردم به تماس تلفنی برای انصراف از تمدید یک سرویس آنلاین استفاده کرد که ظاهراً گیرنده در حال حاضر از آن استفاده می کند.

اگر مردم تماس می گرفتند، یک فرد صمیمی در طرف مقابل به آنها آدرس وب سایتی می داد که ظاهراً قربانی که به زودی در آن قرار می گرفت می توانست اشتراک سرویس را لغو کند. با این حال، آن وب سایت در عوض آنها را به یک دانلود مخرب هدایت کرد.

به گفته محققان CrowdStrike، CrowdStrike همچنین در ماه مارس سال جاری کمپینی را شناسایی کرد که در آن عوامل تهدید از یک کمپین فیشینگ برگشتی برای نصب AterAMM و سپس Cobalt Strike برای کمک به حرکت جانبی و استقرار بدافزار اضافی استفاده کردند.

جعل هویت یک شریک مورد اعتماد

آنها گفتند که محققان مشخص نکردند چه شرکت‌های امنیتی دیگری در این کمپین جعل هویت شده‌اند، که آنها در 8 جولای شناسایی کردند. آنها در پست وبلاگ خود تصویری از ایمیل ارسال شده به گیرندگان جعل هویت CrowdStrike را قرار دادند که با استفاده از لوگوی شرکت قانونی به نظر می رسد.

به طور خاص، این ایمیل به هدف اطلاع می‌دهد که از طرف «فروشنده خدمات امنیت داده برون‌سپاری شده» شرکت آنها می‌آید و «فعالیت غیرعادی» در «بخشی از شبکه که ایستگاه کاری شما بخشی از آن است» شناسایی شده است.

به گفته CrowdStrike، این پیام ادعا می کند که بخش فناوری اطلاعات قربانی قبلاً مطلع شده است، اما مشارکت آنها برای انجام ممیزی در ایستگاه کاری فردی آنها الزامی است. ایمیل به گیرنده دستور می دهد تا با شماره ای که در اختیار شما قرار داده شده تماس بگیرد تا این کار انجام شود، یعنی زمانی که فعالیت مخرب رخ می دهد.

اگرچه محققان نتوانستند نوع بدافزار مورد استفاده در این کمپین را شناسایی کنند، اما به احتمال زیاد معتقدند که شامل «ابزارهای معمول مدیریت از راه دور (RAT) برای دسترسی اولیه، ابزارهای تست نفوذ خارج از قفسه برای حرکت جانبی، و استقرار باج‌افزار یا اخاذی از داده‌ها.»

امکان انتشار باج افزار

محققان همچنین با «اطمینان متوسط» ارزیابی کردند که اپراتورهای پاسخ به تماس در این کمپین «احتمالاً از باج افزار برای کسب درآمد از عملیات خود استفاده خواهند کرد، زیرا کمپین های BazarCall 2021 در نهایت منجر به باج افزار Conti،" آنها گفتند.

محققان نوشتند: «این اولین کمپین پاسخ به تماس شناسایی‌شده است که هویت نهادهای امنیت سایبری را جعل می‌کند و با توجه به ماهیت فوری نقض‌های سایبری، موفقیت بالقوه‌تری دارد».

علاوه بر این، آنها تاکید کردند که CrowdStrike هرگز به این روش با مشتریان تماس نخواهد گرفت و از هر یک از مشتریان خود که چنین ایمیل‌هایی دریافت می‌کنند، خواستند ایمیل‌های فیشینگ را به آدرس csirt@crowdstrike.com ارسال کنند.

یک متخصص امنیتی خاطرنشان کرد: این اطمینان به ویژه با تبحر مجرمان سایبری در تاکتیک‌های مهندسی اجتماعی که برای اهداف نامشخص کمپین‌های مخرب کاملاً مشروع به نظر می‌رسد، کلیدی است.

کریس کلمنتز، معاون معماری راه‌حل‌ها در شرکت امنیت سایبری، «یکی از مهم‌ترین جنبه‌های آموزش مؤثر آگاهی از امنیت سایبری، آموزش پیشاپیش به کاربران در مورد نحوه تماس یا عدم تماس با آنها و اطلاعات یا اقداماتی است که ممکن است از آنها خواسته شود.» سربروس سنتینل، در ایمیلی به Threatpost نوشت. بسیار مهم است که کاربران بدانند چگونه ممکن است توسط بخش های داخلی یا خارجی قانونی با آنها تماس گرفته شود، و این فراتر از امنیت سایبری است.

اکنون برای این رویداد درخواستی ثبت نام کنید: به Threatpost و Tom Garrison از امنیت اینتل در میزگرد Threatpost بپیوندید که در مورد نوآوری بحث می‌کند که به ذینفعان امکان می‌دهد از چشم‌انداز تهدید پویا جلوتر بمانند. همچنین، یاد بگیرید که امنیت اینتل از آخرین مطالعه خود با همکاری موسسه Ponemon چه آموخته است. اینجا تماشا کنید.

تمبر زمان:

بیشتر از انجمن