Bilgisayar korsanları, CrowdStrike gibi tanınmış siber güvenlik şirketlerini, kurumsal ağlara ilk erişim elde etmek için geri çağırma e-postalarında taklit ediyor.
Çoğu kimlik avı kampanyası, oturum açma kimlik bilgilerini veya kötü amaçlı yazılım yüklemek için kötü amaçlı ekler içeren e -postaları çalan açılış sayfalarına bağlantılar yerleştirir.
Bununla birlikte, geçen yıl, tehdit aktörleri, bir sorunu çözmek, abonelik yenilemesini iptal etmek veya başka bir sorunu tartışmak için bir numara çağırmanızı isteyen tanınmış şirketleri taklit eden "geri arama" kimlik avı kampanyalarını giderek daha fazla kullandılar.
Hedef sayıları çağırdığında, tehdit aktörleri, kullanıcıları cihazlarına uzaktan erişim yazılımı yüklemeye ikna etmek için sosyal mühendisliği kullanır ve kurumsal ağlara ilk erişim sağlar. Bu erişim daha sonra tüm Windows etki alanını tehlikeye atmak için kullanılır.
Yeni bir geri arama kimlik avı kampanyasında, bilgisayar korsanları, alıcıları kötü amaçlı ağ davetsiz misafirlerinin iş istasyonlarından ödün verdikleri ve derinlemesine bir güvenlik denetimi gerektiği konusunda uyarmak için Crowdstrike'i taklit ediyorlar.
Bu geri arama kimlik avı kampanyaları, aşağıdaki e -posta snippet'inde gösterildiği gibi, bir alıcının cihazına neden erişim verilmesi gerektiğini ayrıntılı olarak açıklayan sosyal mühendisliğe odaklanmıştır.
"Günlük ağ denetimi sırasında, iş istasyonunuzun bir parçası olduğu ağın segmentiyle ilgili anormal etkinlik belirledik. Ağı uygulayan ve bu ağdaki tüm iş istasyonlarını etkileyebilecek potansiyel bir uzlaşmadan şüphelenen belirli alan adını belirledik. Bu nedenle, tüm iş istasyonlarının ayrıntılı denetimini gerçekleştiriyoruz.
Ancak doğrudan bilgi güvenliği departmanınıza ulaştık, ancak konum iş istasyonunun potansiyel uzlaşmasını ele almak için bizi bu iş istasyonunun bireysel operatörlerine, yani çalışanlara yönlendirdiler. "
Nihayetinde, kimlik avı e -postası, çalışanlardan iş istasyonlarının güvenlik denetimini planlamak için kapalı bir telefon numarasından aramalarını ister.
Hackerlar çağrılırsa, tehdit aktörlerinin iş istasyonu üzerinde tam kontrol sahibi olmalarını sağlayan uzaktan yönetim araçlarını (sıçanlar) kurarak çalışana rehberlik edecektir.
Bu tehdit aktörleri artık ağ üzerinden yanal olarak yayılmalarına, kurumsal verileri çalmasına ve potansiyel olarak fidye yazılımlarını şifrelemeye dağıtmalarını sağlayan ek araçlar yükleyebilir.
CrowdStrike'ın bir raporunda şirket, bu kampanyanın önceki geri arama kimlik avı kampanyalarında görüldüğü gibi, muhtemelen fidye yazılımı saldırısına yol açacağına inanıyor.
Crowdstrike, "Bu, siber güvenlik varlıklarını taklit eden ilk tanımlanmış geri arama kampanyası ve siber ihlallerin acil doğası göz önüne alındığında daha yüksek potansiyel başarıya sahip."
Crowdstrike, Mart 2022'de analistlerinin, tehdit aktörlerinin kobalt grevini kurmak ve daha sonra kötü amaçlı yazılım kullanmadan önce kurbanın ağına yanal olarak hareket etmek için Aterarmm kullandıkları benzer bir kampanya belirlediğini belirtiyor.
Geri çağrı kimlik avı kampanyaları, Conti fidye yazılımı tarafından kurumsal ağlara ilk erişim elde etmek için kullanılan Bazarcall kimlik avı kampanyalarının başlatılmasıyla 2021'de yaygınlaştı.
O zamandan beri, geri arama kimlik avı kampanyaları, antivirüs ve destek abonelikleri ve çevrimiçi kurs yenilemeleri de dahil olmak üzere çeşitli yemleri kullandı.
Advintel'in Vitali Kremeez, BleepingComputer'a Crowdstrike tarafından görülen kampanyanın kendi Bazarcall benzeri kampanyalarını başlatan kuantum fidye yazılımı tarafından yürütüldüğüne inanıldığını söyledi.
"Advintel, 21 Haziran 2022'de Quantum'un, bir kurbanı tehdit oyuncunun kurbanın“ gözden geçirmesine ”yapmasına izin vermeye ikna etmek amacıyla bir maniant veya crowdstrike profesyonelini taklit eden bir tehdit aktörüne dayanan yeni bir IOC hazırladığını keşfetti. makine. " BleepingComputer ile paylaşılan şirketin Andariel Tehdit Önleme çözümünden bir rapor okuyun.
Quantum, şu anda en hızlı yükselen kurumsal hedef fidye yazılımı operasyonlarından biridir ve son zamanlarda PFC'ye 650'den fazla sağlık hizmeti kurulmasını etkileyen bir saldırıya atfedilir.
Güvenlik analistleri ayrıca, birçok eski Conti üyesinin, araştırmacılar ve kolluk kuvvetleri tarafından artan inceleme nedeniyle eski operasyonun kapatılmasından sonra kuantuma atladığını doğruladı.
Bu tür kimlik avı e -postalarının geçmişte, mevcut durumda kitlesel başarı bulması zor olsa da, birçok çalışan evden ve BT takımlarından uzakta çalışan, tehdit aktörlerinin beklentileri önemli ölçüde artmıştır.
Kuantum Fidye Yazılımı Saldırısı 657 Sağlık Hizmetleri Orgs'u Etkiler
Astralocker 2.0 kullanıcıları doğrudan kelime eklerinden bulaşır
Google Drive şimdi sizi şüpheli kimlik avı, kötü amaçlı yazılım belgeleri konusunda uyarıyor
Sahte telif hakkı ihlali e -postaları Lockbit fidye yazılımı yükleyin
Tam Kimlik Hırsızlığı için Hacked WordPress sitelerine eklenen PayPal Kimlik Avı Kiti
Kaynak: Bleeping Computer