Oι hacker υποδύονται εταιρείες cybersecurity, όπως η CrowdStrike, σε callback phishing emails για να έχουν πρόσβαση σε εταιρικά δίκτυα.
Οι περισσότερες καμπάνιες phishing ενσωματώνουν συνδέσμους σε σελίδες προορισμού που κλέβουν διαπιστευτήρια σύνδεσης ή email που περιλαμβάνουν κακόβουλα συνημμένα για εγκατάσταση malware.
Ωστόσο, τον περασμένο χρόνο, οι φορείς απειλών χρησιμοποιούν όλο και περισσότερο εκστρατείες phishing “callback” που υποδύονται γνωστές εταιρείες που σας ζητούν να καλέσετε έναν αριθμό για να επιλύσετε ένα πρόβλημα, να ακυρώσετε μια ανανέωση συνδρομής ή να συζητήσετε ένα άλλο ζήτημα.
Όταν ο στόχος καλεί τους αριθμούς, οι φορείς απειλών χρησιμοποιούν social engineering για να πείσουν τους χρήστες να εγκαταστήσουν λογισμικό απομακρυσμένης πρόσβασης στις συσκευές τους, παρέχοντας πρόσβαση στα εταιρικά δίκτυα. Αυτή η πρόσβαση χρησιμοποιείται στη συνέχεια για να παραβιάσει ολόκληρο το domain των Windows.
Mark Zuckerberg: Ο δεύτερος πλουσιότερος άνθρωπος
Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό
Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰
Δείτε επίσης: CISA προς οργανισμούς: Διορθώστε άμεσα αυτή τη zero-day ευπάθεια
Σε μια νέα εκστρατεία callback phishing, οι χάκερ υποδύονται το CrowdStrike για να προειδοποιήσουν τους παραλήπτες ότι οι εισβολείς δικτύου έχουν παραβιάσει τους σταθμούς εργασίας τους και ότι απαιτείται εις βάθος έλεγχος ασφαλείας.
Αυτές οι εκστρατείες callback phishing επικεντρώνονται στο social engineering, εξηγώντας λεπτομερώς γιατί πρέπει να τους δοθεί πρόσβαση στη συσκευή ενός παραλήπτη, όπως φαίνεται στο παρακάτω απόσπασμα ηλεκτρονικού ταχυδρομείου.
"Κατά τον ημερήσιο έλεγχο δικτύου εντοπίσαμε μη φυσιολογική δραστηριότητα που σχετίζεται με το τμήμα του δικτύου στο οποίο ανήκει ο σταθμός εργασίας σας. Εντοπίσαμε τον συγκεκριμένο διαχειριστή domain που διαχειριζόταν το δίκτυο και υποπτευόμαστε έναν πιθανό παραβιασμό που μπορεί να επηρεάσει όλους τους σταθμούς εργασίας σε αυτό το δίκτυο. Ως εκ τούτου, πραγματοποιούμε λεπτομερή έλεγχο όλων των σταθμών εργασίας. Έχουμε ήδη επικοινωνήσει απευθείας με το τμήμα ασφάλειας πληροφοριών σας, ωστόσο, για να αντιμετωπίσουμε πιθανή παραβίαση του σταθμού εργασίας τοποθεσίας, μας παρέπεμψαν στους μεμονωμένους χειριστές αυτού του σταθμού εργασίας, δηλαδή στους υπαλλήλους."Τελικά, το phishing email ζητά από τους υπαλλήλους να τους καλέσουν σε έναν εσώκλειστο αριθμό τηλεφώνου για να προγραμματίσουν τον έλεγχο ασφαλείας των σταθμών εργασίας τους.
Εάν κληθούν, οι hacker θα καθοδηγήσουν τον εργαζόμενο στην εγκατάσταση εργαλείων απομακρυσμένης διαχείρισης (RAT) που επιτρέπουν στους παράγοντες της απειλής να αποκτήσουν τον πλήρη έλεγχο του σταθμού εργασίας.
Αυτοί οι παράγοντες απειλών μπορούν πλέον να εγκαταστήσουν εξ αποστάσεως πρόσθετα εργαλεία που τους επιτρέπουν να εξαπλώνονται πλευρικά μέσω του δικτύου, να κλέβουν εταιρικά δεδομένα και ενδεχομένως να αναπτύσσουν ransomware για την κρυπτογράφηση συσκευών.
Σε μια αναφορά του CrowdStrike, η εταιρεία πιστεύει ότι αυτή η καμπάνια πιθανότατα θα οδηγήσει σε επίθεση ransomware, όπως φάνηκε με προηγούμενες εκστρατείες phishing callback.
«Αυτή είναι η πρώτη αναγνωρισμένη εκστρατεία callback που υποδύεται οντότητες κυβερνοασφάλειας και έχει υψηλότερη πιθανή επιτυχία δεδομένης της επείγουσας φύσης των παραβιάσεων στον κυβερνοχώρο», προειδοποιεί η CrowdStrike.
Το CrowdStrike σημειώνει ότι τον Μάρτιο του 2022, οι αναλυτές του εντόπισαν μια παρόμοια καμπάνια στην οποία οι παράγοντες απειλών χρησιμοποίησαν το AteraRMM για να εγκαταστήσουν το Cobalt Strike και στη συνέχεια να μετακινηθούν πλευρικά στο δίκτυο του θύματος προτού το μολύνουν με κακόβουλο λογισμικό.
Δείτε επίσης: Ransomware: Ποια νέα στρατηγική χρησιμοποιούν οι hackers για να πιέσουν τα θύματα;
Οι εκστρατείες phishing callback έγιναν κοινές το 2021 με την έναρξη των καμπανιών ψαρέματος BazarCall που χρησιμοποιούνται από τη συμμορία ransomware Conti για να αποκτήσουν αρχική πρόσβαση σε εταιρικά δίκτυα.
Έκτοτε, οι εκστρατείες phishing callback έχουν χρησιμοποιήσει διάφορα δέλεαρ, συμπεριλαμβανομένων συνδρομών προστασίας από ιούς και υποστήριξης και ανανεώσεων διαδικτυακών μαθημάτων.
Ο Vitali Kremez της AdvIntel είπε στο BleepingComputer ότι η καμπάνια που είδαν στο CrowdStrike πιστεύεται ότι διεξάγεται από τη συμμορία Quantum ransomware, η οποία έχει ξεκινήσει τη δική της καμπάνια τύπου BazarCall.
«Η AdvIntel ανακάλυψε στις 21 Ιουνίου 2022, ότι η Quantum ετοίμαζε ένα νέο IOC βασισμένο σε έναν φορέα απειλής που υποδύεται είτε έναν επαγγελματία του Mandiant είτε του CrowdStrike, σε μια προσπάθεια να πείσει ένα θύμα να επιτρέψει στον φορέα απειλής να κάνει μια «επισκόπηση» της μηχανής του θύματος». Ορίστε μια αναφορά από τη λύση της εταιρείας Andariel Threat Prevention που κοινοποιήθηκε στο BleepingComputer.
Το Quantum είναι μία από τις ταχύτερα αναπτυσσόμενες λειτουργίες ransomware με στόχο τις επιχειρήσεις αυτή τη στιγμή, που αποδόθηκε πρόσφατα σε μια επίθεση στο PFC που επηρέασε περισσότερους από 650 οργανισμούς υγειονομικής περίθαλψης.
Οι αναλυτές ασφαλείας επιβεβαίωσαν επίσης ότι πολλά πρώην μέλη του Conti έχουν μεταβεί στο Quantum μετά τον τερματισμό της προηγούμενης επιχείρησης λόγω αυξημένου ελέγχου από ερευνητές και αρχές επιβολής του νόμου. Αν και θα ήταν δύσκολο για τέτοια μηνύματα phishing να επιτύχουν μαζική επιτυχία στο παρελθόν, στην τρέχουσα κατάσταση, με πολλούς υπαλλήλους να εργάζονται εξ αποστάσεως.
Πηγή: bleepingcomputer.com