「コールバック」フィッシングキャンペーンが警備会社になりすます

タイムスタンプ:12年2022月7日午前43時XNUMX分
ソースノード: 1574588

被害者は、マルウェアをダウンロードするためのリンクに誘導する電話をかけるように指示されました。

新しいコールバックフィッシングキャンペーンは、著名な警備会社になりすまして、潜在的な被害者をだまして、マルウェアをダウンロードするように指示する電話をかけさせようとしています。

クラウドストライクインテリジェンスの研究者は、クラウドストライクが実際には他の警備会社の中でも偽装された企業のXNUMXつであるため、キャンペーンを発見したと彼らは最近述べた ブログ投稿。

このキャンペーンでは、被害者をだまして緊急に返信することを目的とした典型的なフィッシングメールを使用しています。この場合、受信者の会社が侵害されたことを意味し、メッセージに含まれる電話番号に電話をかけることを主張しています。 標的にされた人がその番号に電話をかけると、悪意を持ってWebサイトに誘導する人に連絡するという。

InfosecInsidersニュースレター

「歴史的に、コールバックキャンペーンの運営者は、被害者に商用RATソフトウェアをインストールして、ネットワーク上で最初の足がかりを得ようと試みています」と研究者は投稿に書いています。

研究者たちは、キャンペーンを昨年吹き替えで発見されたものに例えました バザーコール を通じて、タンピングされたコーヒーベッドの上から均一にフィルターバスケットの内の粉に浸透していきます。 ウィザードスパイダー 脅威グループ。 そのキャンペーンは、同様の戦術を使用して、受信者が現在使用しているとされるオンライン サービスの更新をオプトアウトするために人々に電話をかけさせようとしたと、ソフォスの研究者は当時説明しました。

人々が電話をかけた場合、反対側の友好的な人がウェブサイトのアドレスを教えてくれます。 しかし、その Web サイトから悪意のあるダウンロードが行われました。

クラウドストライクはまた、今年XNUMX月に、脅威アクターがコールバックフィッシングキャンペーンを使用してAteraRMMをインストールし、続いてコバルトストライクを使用して横方向の動きを支援し、追加のマルウェアを展開するキャンペーンを特定したと、クラウドストライクの研究者は述べています。

信頼できるパートナーになりすます

研究者らは、8 月 XNUMX 日に特定されたキャンペーンで他のどのセキュリティ会社になりすましたかを特定しなかった、と彼らは述べた。 彼らのブログ投稿には、CrowdStrike になりすました受信者に送信された電子メールのスクリーンショットが含まれていました。これは、会社のロゴを使用することで正当であると思われます。

具体的には、メールはターゲットに、自社の「外部委託データセキュリティサービスベンダー」からのものであり、「ワークステーションが含まれるネットワークのセグメント」で「異常なアクティビティ」が検出されたことを通知します。

クラウドストライクによると、このメッセージは、被害者のIT部門はすでに通知を受けているが、個々のワークステーションで監査を実行するには被害者の参加が必要であると述べています。 電子メールは、悪意のある活動が発生したときにこれを行うことができるように、提供された番号に電話をかけるように受信者に指示します。

研究者はキャンペーンで使用されているマルウェアの亜種を特定できませんでしたが、「初期アクセス用の一般的な正規のリモート管理ツール(RAT)、横方向の動き用の既製の侵入テストツール、ランサムウェアやデータの恐喝の展開」と彼らは書いています。

ランサムウェアを広める可能性

研究者はまた、キャンペーンのコールバックオペレーターが「ランサムウェアを使用して運用を収益化する可能性が高い」と「中程度の自信」で評価しました。「2021年のBazarCallキャンペーンは最終的に コンティランサムウェア、" 彼らは言った。

「これは、サイバーセキュリティエンティティになりすました最初に特定されたコールバックキャンペーンであり、サイバー侵害の緊急性を考えると、より高い成功の可能性があります」と研究者は書いています。

さらに、CrowdStrike がこのような方法で顧客に連絡することは決してないことを強調し、そのような電子メールを受け取った顧客には、フィッシング メールをアドレス csirt@crowdstrike.com に転送するよう促しました。

この保証は、特にサイバー犯罪者が悪意のあるキャンペーンの無防備な標的に対して完全に正当であるように見えるソーシャルエンジニアリング戦術に非常に熟達している場合に重要であると、あるセキュリティ専門家は述べています。

「効果的なサイバーセキュリティ意識向上トレーニングの最も重要な側面のXNUMXつは、ユーザーに連絡する方法と連絡しない方法、およびユーザーに求められる可能性のある情報やアクションについて事前に教育することです」と、サイバーセキュリティ会社のソリューションアーキテクチャ担当副社長であるクリスクレメンツは述べています。 ケルベロスセンチネル、Threatpostにメールで書き込みました。 「ユーザーが合法的な内部または外部の部門から連絡を受ける方法を理解することが重要です。これは単なるサイバーセキュリティを超えています。」

このオンデマンドイベントに今すぐ登録:ThreatpostとIntelSecurityのTomGarrisonに参加して、Threatpostの円卓会議に参加し、利害関係者が動的な脅威の状況を先取りできるようにするイノベーションについて話し合います。 また、IntelSecurityがPonemonInstitueとの提携による最新の調査から学んだことを学びます。 ここで見る.

タイムスタンプ:

より多くの ハックス