Μια μεγάλης κλίμακας εκστρατεία phishing στοχεύει ενεργά οργανισμούς σε όλες τις Ηνωμένες Πολιτείες, χρησιμοποιώντας ψεύτικες προσκλήσεις σε εκδηλώσεις για να εξαπατήσει τους υπαλλήλους να παραδώσουν τα εταιρικά τους διαπιστευτήρια σύνδεσης.
Η επιχείρηση έχει μεγάλη εμβέλεια και πλήττει μερικούς από τους πιο ευαίσθητους τομείς της χώρας, συμπεριλαμβανομένων των τραπεζών, της κυβέρνησης, της τεχνολογίας και της υγειονομικής περίθαλψης, υποδεικνύοντας μια σκόπιμη προσπάθεια για συμβιβασμό στόχων υψηλής αξίας σε πολλούς κλάδους ταυτόχρονα.
Οι παράγοντες απειλών πίσω από αυτήν την καμπάνια έχουν δημιουργήσει μια καλά οργανωμένη αλυσίδα επιθέσεων που ξεκινά με ένα πειστικό δέλεαρ και τελειώνει με πλήρη απομακρυσμένη πρόσβαση στο εταιρικό δίκτυο του θύματος.
Αυτό που κάνει αυτή την καμπάνια ιδιαίτερα ανησυχητική είναι η πολυεπίπεδη προσέγγισή της. Αντί να βασίζονται σε μία μόνο μέθοδο, οι εισβολείς συνδυάζουν κλοπή διαπιστευτηρίων, υποκλοπή κωδικού πρόσβασης μίας χρήσης (OTP) και την αθόρυβη ανάπτυξη του λογισμικού απομακρυσμένης παρακολούθησης και διαχείρισης (RMM) σε μια συντονισμένη λειτουργία.
Αυτή η μέθοδος πολλών σταδίων καθιστά την καμπάνια σημαντικά πιο δύσκολη στην σύλληψη πριν από την πραγματοποίηση πραγματικής ζημιάς.
Οι αναλυτές στο ANY.RUN προσδιόρισαν την καμπάνια αφού εξέτασαν προσεκτικά την πλήρη αλυσίδα επίθεσης στο διαδραστικό περιβάλλον sandbox τους.
Τα ευρήματά τους δείχνουν ότι αρκετές σελίδες phishing φέρουν σαφείς ενδείξεις δημιουργίας με τη βοήθεια AI, υποδηλώνοντας ότι οι εισβολείς χρησιμοποιούν αυτοματοποιημένες διαδικασίες για να δημιουργήσουν πειστικό περιεχόμενο με ταχύτητα.
Ο ενσωματωμένος κώδικας σε αυτές τις σελίδες επιβεβαιώνει επίσης την επαναχρησιμοποίηση γνωστών κιτ phishing, που επιτρέπει στους χειριστές να δημιουργούν νέες σελίδες phishing γρήγορα και να ανταλλάσσουν παλιά υποδομή κάθε φορά που οι υπάρχοντες τομείς επισημαίνονται ή αφαιρούνται εκτός σύνδεσης από προμηθευτές ασφαλείας.
Η υποδομή της εκστρατείας προσθέτει άλλο ένα επίπεδο δυσκολίας για τους αμυντικούς. Οι τομείς ηλεκτρονικού “ψαρέματος” έχουν κατασκευαστεί προσεκτικά ώστε να φαίνονται νόμιμοι, μιμούμενοι τους αξιόπιστους ιστότοπους επιχειρήσεων. Αυτή η πειστική εμφάνιση καθυστερεί τον εντοπισμό και δίνει στους επιτιθέμενους περισσότερο χρόνο μέσα σε ένα περιβάλλον στόχο πριν κάποιος καταλάβει ότι κάτι δεν πάει καλά.
Ο πραγματικός κίνδυνος, ωστόσο, έρχεται μετά τη σελίδα phishing. Αντί να σταματήσουν στην κλοπή διαπιστευτηρίων, οι εισβολείς συνεχίζουν να εγκαθιστούν αναγνωρισμένα εργαλεία RMM όπως το ScreenConnect, το ITarian και το Datto RMM σε μηχανήματα θυμάτων, δημιουργώντας μια επίμονη και δύσκολα ανιχνεύσιμη βάση μέσα στο εταιρικό περιβάλλον.
Αυτά τα εργαλεία αποτελούν μέρος της καθημερινής ζωής για πολλά νόμιμα τμήματα πληροφορικής, και αυτό ακριβώς τα κάνει τόσο χρήσιμα για απειλές.
Τα φίλτρα ασφαλείας σπάνια μπλοκάρουν το λογισμικό RMM και η παρουσία τους τείνει να συνδυάζεται με την κανονική διαχειριστική δραστηριότητα σε ένα δίκτυο.
Αυτό δίνει στους εισβολείς τη δυνατότητα να διατηρούν αθόρυβη, μακροπρόθεσμη πρόσβαση σε παραβιασμένα συστήματα χωρίς να τραβούν την άμεση προσοχή.
Πώς ρέει η επίθεση
Η αλληλουχία μόλυνσης ξεκινά όταν ένας στόχος προσγειωθεί σε α Η σελίδα CAPTCHA, η οποία λειτουργεί ως φίλτρο σχεδιασμένο να διαχωρίζει τους πραγματικούς χρήστες από τους αυτοματοποιημένους σαρωτές. Μόλις περάσει, εμφανίζεται στο θύμα αυτό που φαίνεται να είναι μια γνήσια πρόσκληση εκδήλωσης.
Σε αυτό το σημείο, η επίθεση χωρίζεται σε δύο διακριτές διαδρομές. Σε μια διαδρομή, το θύμα μεταφέρεται σε μια ψεύτικη σελίδα σύνδεσης όπου καταγράφονται τα διαπιστευτήρια.
Παράλληλα, ένα πρόγραμμα εγκατάστασης RMM ξεκινά αυτόματα τη λήψη στο μηχάνημα του θύματος, χωρίς να απαιτείται πρόσθετη ενέργεια από τον χρήστη.
Η αυτόματη λήψη είναι ιδιαίτερα σημαντική επειδή η πρόσβαση μπορεί να δημιουργηθεί πριν το θύμα συνειδητοποιήσει ότι κάτι δεν πάει καλά.
Ο επιτιθέμενος αποκτά θέση νωρίς στην αλυσίδα εκτέλεσης, πολύ πριν εκτοξευθεί μια τυπική ειδοποίηση ασφαλείας. Ακόμη και όταν η υποδομή της καμπάνιας αλλάζει με την πάροδο του χρόνου, οι εισβολείς διατηρούν σταθερά και επαναλαμβανόμενα μοτίβα.
Σταθερές διαδρομές πόρων όπως /Image/*.png εμφανίζονται σε τομείς phishing και διαδοχικά αιτήματα ιστού που μετακινούνται από /favicon.ico διά μέσου /blocked.html σε περιεχόμενο phishing παραμείνετε προβλέψιμοι σε διαφορετικές εκδόσεις καμπάνιας. Αυτά τα σταθερά μοτίβα καθιστούν δυνατή την έγκαιρη ανίχνευση, πριν καν εισαχθούν τα διαπιστευτήρια.
Συνιστάται στις ομάδες ασφαλείας να παρακολουθούν στενά για εγκαταστάσεις εργαλείων RMM που πραγματοποιούνται εκτός εγκεκριμένων ροών εργασιών πληροφορικής. Εξωτερικές συνδέσεις σε Οι πλατφόρμες RMM που δεν έχουν εξουσιοδοτηθεί ρητά από τον οργανισμό θα πρέπει να ελεγχθούν και να περιοριστούν.
Η επισήμανση αλυσίδων ανακατεύθυνσης που βασίζονται σε CAPTCHA που συνδέονται με άγνωστους τομείς και η παρακολούθηση ακολουθιών αιτημάτων ιστού που ταιριάζουν με γνωστά μοτίβα ψαρέματος, μπορεί να βοηθήσει τις ομάδες να εντοπίσουν αυτήν τη δραστηριότητα προτού φτάσει στο στάδιο συλλογής διαπιστευτηρίων ή απομακρυσμένης πρόσβασης.
VIA: cybersecuritynews.com
