피해자는 악성코드 다운로드 링크로 연결되는 전화를 걸도록 지시받았습니다.
새로운 콜백 피싱 캠페인은 저명한 보안 회사를 사칭하여 잠재적인 피해자가 전화를 걸어 악성 코드를 다운로드하도록 유도합니다.
CrowdStrike Intelligence의 연구원들은 CrowdStrike가 실제로 다른 보안 회사 중에서 사칭되고 있는 회사 중 하나이기 때문에 이 캠페인을 발견했다고 밝혔습니다. 블로그 게시물.
이 캠페인은 피해자를 속여 긴급한 답변을 하도록 유도하는 전형적인 피싱 이메일을 사용합니다. 이 경우 수신자의 회사가 침해를 당했음을 암시하고 메시지에 포함된 전화번호로 전화를 걸어야 한다고 주장합니다. 표적이 된 사람이 해당 번호로 전화를 걸면 악의적인 의도를 가진 웹사이트로 안내하는 사람에게 연결된다고 합니다.
"역사적으로 콜백 캠페인 운영자는 네트워크에서 초기 발판을 얻기 위해 상용 RAT 소프트웨어를 설치하도록 피해자를 설득하려고 시도했습니다.
연구원들은 이 캠페인을 작년에 발견된 캠페인에 비유했습니다. 바자콜 로 마법사 거미 위협 그룹. 그 캠페인은 수신자가 현재 사용하고 있다고 알려진 온라인 서비스를 갱신하지 않기 위해 전화를 걸도록 유도하기 위해 유사한 전술을 사용했다고 당시 소포스 연구원들이 설명했습니다.
사람들이 전화를 걸면 상대방의 친절한 사람이 곧 희생자가 될 웹사이트 주소를 알려줄 것입니다. 여기에서 곧 피해자가 서비스 구독을 취소할 수 있을 것입니다. 그러나 해당 웹 사이트는 대신 악성 다운로드로 이어졌습니다.
CrowdStrike는 또한 올해 XNUMX월에 공격자가 콜백 피싱 캠페인을 사용하여 AteraRMM을 설치한 다음 Cobalt Strike를 사용하여 측면 이동을 지원하고 추가 멀웨어를 배포한 캠페인을 확인했다고 CrowdStrike 연구원이 말했습니다.
신뢰할 수 있는 파트너 사칭
연구원들은 8월 XNUMX일에 확인된 이 캠페인에서 다른 보안 회사가 사칭된 것이 무엇인지 구체적으로 밝히지 않았다고 밝혔습니다. 블로그 게시물에는 CrowdStrike를 사칭하는 수신자에게 보낸 이메일의 스크린샷이 포함되어 있습니다. 이는 회사 로고를 사용하여 합법적인 것으로 보입니다.
특히, 이메일은 대상에게 해당 회사의 "아웃소싱 데이터 보안 서비스 공급업체"에서 온 것이며 "워크스테이션이 속한 네트워크 세그먼트"에서 "비정상적 활동"이 감지되었음을 알려줍니다.
CrowdStrike에 따르면 이 메시지는 피해자의 IT 부서에 이미 통보를 받았지만 개별 워크스테이션에 대한 감사를 수행하려면 피해자의 참여가 필요하다고 주장합니다. 이메일은 수신자에게 제공된 번호로 전화를 걸도록 지시하여 악의적인 활동이 발생할 때 이를 수행할 수 있습니다.
연구원들은 캠페인에 사용된 멀웨어 변종을 식별할 수 없었지만 "초기 액세스를 위한 일반적인 합법적인 원격 관리 도구(RAT), 측면 이동을 위한 기성 침투 테스트 도구, 랜섬웨어 배포 또는 데이터 갈취"라고 적었습니다.
랜섬웨어 확산 가능성
연구원들은 또한 캠페인의 콜백 운영자가 "2021년 BazarCall 캠페인이 결국 Conti 랜섬웨어,”그들은 말했다.
연구원들은 "이는 사이버 보안 기관을 사칭하는 최초의 확인된 콜백 캠페인이며 사이버 침해의 긴급한 특성을 감안할 때 더 높은 성공 가능성을 가지고 있습니다"라고 적었습니다.
또한 그들은 CrowdStrike가 이러한 방식으로 고객에게 연락하지 않을 것임을 강조하고 이러한 이메일을 받는 모든 고객에게 피싱 이메일을 csirt@crowdstrike.com 주소로 전달할 것을 촉구했습니다.
한 보안 전문가는 사이버 범죄자가 의심하지 않는 악의적인 캠페인 대상에게 완벽하게 합법적인 것처럼 보이는 사회 공학 전술에 매우 능숙해지면서 이러한 확신이 특히 중요하다고 말했습니다.
사이버 보안 회사의 솔루션 아키텍처 부사장인 Chris Clements는 "효과적인 사이버 보안 인식 교육의 가장 중요한 측면 중 하나는 사용자가 어떻게 연락할지, 어떤 정보나 조치를 취해야 하는지에 대해 사전에 교육하는 것입니다."라고 말했습니다. 켈베로스 센티넬, Threatpost에 이메일로 작성했습니다. "사용자가 합법적인 내부 또는 외부 부서에서 연락할 수 있는 방법을 이해하는 것이 중요하며 이는 단순한 사이버 보안 이상입니다."
이 주문형 이벤트에 지금 등록하십시오: Threatpost 및 Intel Security의 Tom Garrison과 함께 Threatpost 라운드테이블에서 이해 관계자가 역동적인 위협 환경에서 앞서 나갈 수 있도록 하는 혁신에 대해 논의하십시오. 또한 Intel Security가 Ponemon Institue와 파트너십을 맺은 최신 연구에서 무엇을 배웠는지 알아보십시오. 여기에서보기.
