קמפיין דיוג 'התקשרות חוזרת' מתחזה לחברות אבטחה

חותמת זמן: 12 ביולי 2022 7:43
צומת המקור: 1574588

הקורבנות קיבלו הוראה לבצע שיחת טלפון שתפנה אותם לקישור להורדת תוכנות זדוניות.

קמפיין דיוג חדש בהתקשרות חוזרת מתחזה לחברות אבטחה בולטות כדי לנסות להערים על קורבנות פוטנציאליים לבצע שיחת טלפון שתנחה אותם להוריד תוכנות זדוניות.

חוקרים ב-CrowdStrike Intelligence גילו את הקמפיין מכיוון ש-CrowdStrike היא למעשה אחת החברות, בין שאר חברות האבטחה, שמתחזות, לדבריהם באחרונה פוסט בבלוג.

הקמפיין משתמש באימייל דיוג טיפוסי שמטרתו לרמות קורבן להשיב בדחיפות - במקרה זה, מרמז על כך שהחברה של הנמען נפרצה ומתעקש שיתקשר למספר טלפון הכלול בהודעה, כתבו החוקרים. אם אדם ממוקד מתקשר למספר, הוא מגיע למישהו שמפנה אותו לאתר עם כוונת זדון, הם אמרו.

ניוזלטר אינסידרס של Infosec

"באופן היסטורי, מפעילי קמפיינים להתקשרות חוזרים מנסים לשכנע קורבנות להתקין תוכנת RAT מסחרית כדי להשיג דריסת רגל ראשונית ברשת", כתבו החוקרים בפוסט.

חוקרים השוו את הקמפיין לקמפיין שהתגלה בשנה שעברה ודובב BazarCall על ידי עכביש הקוסם קבוצת איום. הקמפיין הזה השתמש בטקטיקה דומה כדי לנסות לדרבן אנשים לבצע שיחת טלפון כדי לבטל את הסכמתם לחידוש שירות מקוון שהנמען כביכול משתמש בו כעת, הסבירו אז חוקרי Sophos.

אם אנשים יתקשרו, אדם ידידותי בצד השני היה נותן להם כתובת אתר שבה יכול לכאורה הקורבן לעתיד לבטל את המנוי לשירות. עם זאת, אתר זה במקום הוביל אותם להורדה זדונית.

CrowdStrike זיהה גם מסע פרסום במרץ השנה שבו שחקני איומים השתמשו במסע דיוג להתקשרות חוזרת כדי להתקין את AteraRMM ואחריו Cobalt Strike כדי לסייע בתנועה לרוחב ולפרוס תוכנות זדוניות נוספות, אמרו חוקרי CrowdStrike.

התחזות לשותף מהימן

החוקרים לא ציינו אילו חברות אבטחה אחרות התחזו בקמפיין, שאותו זיהו ב-8 ביולי, לדבריהם. בפוסט בבלוג שלהם, הם כללו צילום מסך של האימייל שנשלח לנמענים המתחזות ל-CrowdStrike, שנראה לגיטימי על ידי שימוש בלוגו של החברה.

באופן ספציפי, האימייל מודיע למטרה שהוא מגיע מ"ספק שירותי אבטחת המידע במיקור חוץ" של החברה שלהם, וכי "פעילות חריגה" זוהתה ב"קטע של הרשת שתחנת העבודה שלך היא חלק ממנה".

ההודעה טוענת שמחלקת ה-IT של הקורבן כבר קיבלה הודעה, אך השתתפותם נדרשת לביצוע ביקורת בתחנת העבודה האישית שלהם, לפי CrowdStrike. המייל מורה לנמען להתקשר למספר שסופק כדי שניתן יהיה לעשות זאת, כלומר כאשר הפעילות הזדונית מתרחשת.

למרות שהחוקרים לא הצליחו לזהות את גרסת התוכנה הזדונית שבה נעשה שימוש בקמפיין, הם מאמינים בסבירות גבוהה שהוא יכלול "כלי ניהול מרחוק משותפים (RATs) לגיטימיים לגישה ראשונית, כלי בדיקת חדירה מהמדף לתנועה לרוחב, ופריסה של תוכנות כופר או סחיטת נתונים", כתבו.

פוטנציאל להפיץ תוכנות כופר

חוקרים העריכו גם ב"ביטחון מתון" שמפעילי התקשרות חוזרים בקמפיין "ככל הנראה ישתמשו בתוכנת כופר כדי לייצר רווחים מהפעילות שלהם", הם אמרו, "כפי שקמפיינים של BazarCall ב-2021 יובילו בסופו של דבר ל Conti תוכנת כופר," הם אמרו.

"זהו מסע ההתקשרות הראשון שזוהה המתחזה לישויות אבטחת סייבר ויש לו הצלחה פוטנציאלית גבוהה יותר בהתחשב באופי הדחוף של הפרות סייבר", כתבו החוקרים.

יתרה מכך, הם הדגישו ש-CrowdStrike לעולם לא תיצור קשר עם לקוחות בדרך זו, ודחקו בכל אחד מהלקוחות שלהם שמקבלים מיילים כאלה להעביר מיילים דיוג לכתובת csirt@crowdstrike.com.

הבטחה זו היא המפתח במיוחד עם פושעי סייבר שהופכים כל כך מיומנים בטקטיקות הנדסה חברתית שנראות לגיטימיות לחלוטין למטרות תמימות של קמפיינים זדוניים, ציין איש מקצוע בתחום האבטחה.

"אחד ההיבטים החשובים ביותר של הכשרה אפקטיבית למודעות אבטחת סייבר הוא חינוך משתמשים מראש כיצד יפנו או לא יפנו אליהם, ואיזה מידע או פעולות הם עשויים להתבקש לעשות", כריס קלמנטס, סגן נשיא לארכיטקטורת פתרונות בחברת אבטחת סייבר סרברוס סנטינל, כתב באימייל ל-Threatpost. "זה קריטי שמשתמשים יבינו כיצד ניתן ליצור איתם קשר על ידי מחלקות פנימיות או חיצוניות לגיטימיות, וזה חורג מעבר לאבטחת סייבר בלבד."

הירשם עכשיו לאירוע לפי דרישה זה: הצטרף ל-Threatpost ו-Tom Garrison של Intel Security בשולחן עגול של Threatpost הדן בחדשנות המאפשרת לבעלי עניין להקדים את נוף האיומים הדינמי. כמו כן, למד מה למדה Intel Security מהמחקר האחרון שלהם בשיתוף עם Ponemon Institue. צפה כאן.

בול זמן:

עוד מ פריצות