'Geri Arama' Kimlik Avı Kampanyası Güvenlik Firmalarının Kimliğine Düşüyor

Yeni bir geri arama kimlik avı kampanyası, potansiyel kurbanları kötü amaçlı yazılım indirmeleri yönünde talimat verecek bir telefon görüşmesi yapmaları için kandırmaya çalışmak üzere önde gelen güvenlik şirketlerinin kimliğine bürünüyor.

CrowdStrike Intelligence'daki araştırmacılar, yakın zamanda yapılan bir araştırmada, CrowdStrike'ın aslında diğer güvenlik firmalarının yanı sıra kimliğine bürünülen şirketlerden biri olması nedeniyle kampanyayı keşfettiklerini söylediler. Blog yazısı.

Araştırmacılar, kampanyanın kurbanı acil yanıt vermesi için kandırmayı amaçlayan tipik bir kimlik avı e-postası kullandığını; bu durumda, alıcının şirketinin ihlal edildiğini ima ettiğini ve mesajda yer alan bir telefon numarasını aramaları konusunda ısrar ettiğini yazdı. Hedeflenen kişi numarayı aradığında, kendisini kötü niyetli bir web sitesine yönlendiren birine ulaşıyor.

Araştırmacılar gönderide şöyle yazdı: "Tarihsel olarak, geri arama kampanyası operatörleri, ağda ilk tutunma noktasını kazanmak için kurbanları ticari RAT yazılımı yüklemeye ikna etmeye çalışıyor."

Araştırmacılar kampanyayı geçen yıl keşfedilen kampanyaya benzetti ÇarşıÇağrı tarafından Büyücü Örümcek tehdit grubu. O dönemde Sophos araştırmacıları, bu kampanyanın, alıcının şu anda kullandığı iddia edilen bir çevrimiçi hizmetin yenilenmesinden vazgeçmek için insanları bir telefon görüşmesi yapmaya teşvik etmek amacıyla benzer bir taktiği kullandığını açıklamıştı.

İnsanlar aramayı yaptığında, diğer taraftaki dost canlısı bir kişi onlara, yakında mağdur olacak kişinin sözde hizmet aboneliğinden çıkabileceği bir web sitesi adresi veriyordu. Ancak bu web sitesi onları kötü amaçlı bir indirmeye yönlendirdi.

CrowdStrike araştırmacıları, CrowdStrike'ın ayrıca bu yılın Mart ayında, tehdit aktörlerinin AteraRMM'yi kurmak için bir geri arama kimlik avı kampanyası kullandığı ve ardından yanal harekete yardımcı olmak ve ek kötü amaçlı yazılım dağıtmak için Cobalt Strike'ı kullandığı bir kampanya tespit ettiğini söyledi.

Güvenilir Bir Ortağı Taklit Etme

Araştırmacılar, 8 Temmuz'da belirledikleri kampanyada başka hangi güvenlik şirketlerinin kimliğine bürünüldüğünü belirtmediler. Blog gönderilerinde, CrowdStrike'ı taklit eden alıcılara gönderilen e-postanın, şirketin logosunu kullanarak meşru görünen bir ekran görüntüsünü eklediler.

E-posta özellikle hedefe, bunun şirketlerinin "dış kaynaklı veri güvenliği hizmetleri satıcısından" geldiğini ve "iş istasyonunuzun bir parçası olduğu ağ bölümünde" "anormal aktivite" tespit edildiğini bildirir.

CrowdStrike'a göre mesaj, mağdurun BT departmanının zaten bilgilendirildiğini ancak bireysel iş istasyonlarında bir denetim gerçekleştirmek için katılımlarının gerekli olduğunu iddia ediyor. E-posta, alıcıya, bunun yapılabilmesi için sağlanan numarayı araması talimatını verir; bu, kötü amaçlı etkinliğin gerçekleştiği zamandır.

Araştırmacılar, kampanyada kullanılan kötü amaçlı yazılım varyantını tanımlayamasa da, büyük olasılıkla bunun "ilk erişim için ortak meşru uzaktan yönetim araçlarını (RAT'ler), yanal hareket için kullanıma hazır sızma testi araçlarını, ve fidye yazılımının yayılması veya veri gaspı” diye yazdılar.

Fidye Yazılımı Yayılma Potansiyeli

Araştırmacılar ayrıca, kampanyadaki geri arama operatörlerinin "operasyonlarından para kazanmak için muhtemelen fidye yazılımı kullanacaklarını" "orta düzeyde bir güvenle" değerlendirdiler ve "2021 BazarCall kampanyalarının en sonunda Conti Ransomware," dediler.

Araştırmacılar, "Bu, siber güvenlik varlıklarını taklit eden ilk tespit edilen geri arama kampanyasıdır ve siber ihlallerin acil doğası göz önüne alındığında daha yüksek potansiyel başarıya sahiptir" diye yazdı.

Ayrıca CrowdStrike'ın müşterilerle asla bu şekilde iletişime geçmeyeceğini vurguladılar ve bu tür e-postalar alan müşterilerinin kimlik avı e-postalarını csirt@crowdstrike.com adresine iletmesini istediler.

Bir güvenlik uzmanı, bu güvencenin, özellikle siber suçluların, kötü niyetli kampanyaların şüphelenmeyen hedefleri için tamamen meşru görünen sosyal mühendislik taktiklerinde bu kadar usta hale gelmeleri açısından çok önemli olduğunu belirtti.

Siber güvenlik şirketinin çözüm mimarisinden sorumlu başkan yardımcısı Chris Clements, "Etkili siber güvenlik farkındalığı eğitiminin en önemli yönlerinden biri, kullanıcıları kendileriyle nasıl iletişime geçilip geçilmeyeceği ve kendilerinden hangi bilgi veya eylemleri almalarının istenebileceği konusunda önceden eğitmektir" dedi. Cerberus Nöbetçisi, Threatpost'a bir e-posta yazdı. "Kullanıcıların meşru iç veya dış departmanlar tarafından kendileriyle nasıl iletişime geçilebileceğini anlamaları kritik önem taşıyor ve bu sadece siber güvenliğin ötesine geçiyor."

Bu İsteğe Bağlı Etkinlik için Şimdi Kaydolun: Threatpost ve Intel Security'den Tom Garrison'a, paydaşların dinamik bir tehdit ortamının önünde kalmasını sağlayan yenilikleri tartışan bir Threatpost yuvarlak masasında katılın. Ayrıca Intel Security'nin Ponemon Institue ile ortaklaşa yürüttüğü en son çalışmasından neler öğrendiğini öğrenin. BURAYA BAK.