Federal Soruşturma (FBI) e-posta sunucuları, Alıcıların ağının ihlal edildiği ve verilerin çalındığı FBI uyarılarını taklit eden spam e-postalarını dağıtmak için saldırıya uğradı.
E-postalar, vinny Troia olarak tanımladıkları gelişmiş bir tehdit aktöründen "sofistike bir zincir saldırısı" konusunda uyarmak için taklit etti. Troia, karanlık web zekası şirketlerinin güvenlik araştırmalarının başıdır Nightlion ve Shadowbyte
Spam izleyen kar amacı gütmeyen spamhaus, bu mesajların on binlerce kişinin bu sabah erkenden iki dalgada teslim edildiğini fark etti. Bunun sadece kampanyanın küçük bir parçası olduğuna inanıyorlar.
Spamhaus Projesi'ndeki araştırmacılar, spam ve ilgili siber tehditleri (kimlik avı, botnetler, kötü amaçlı yazılımlar) izleyen uluslararası kar amacı gütmeyen bir karıncalanma, bu kampanyanın iki dalgasını (UTC) ve bir saniyede iki saat sonra gözlemledi.
Mesajlar, meşru bir e-posta adresinden - EIMS@IC.FBI.GOV'tan - FBI'nin kanun yaptırımı kurumsal portalından (LEEP) ve "Acil: Tehdit Oyuncu sistemlerinde" konuyu taşıdı.
Tüm e-postalar FBI'nin IP adresine geldiler 153.31.119.142 (Mx-ast-ic.fbi.gov), Spamhaus bize söyledi.
Mesaj, alıcıların ağında bir tehdit aktörünün tespit edildiğini ve verileri aygıtlardan çalındığını uyarır.
Spamhaus Projesi, BleepingComputer'a sahte e-postaların en az 100.000 posta kutusu ulaştığını söyledi. Sayı, araştırmacılar "kampanya potansiyel olarak çok daha büyüktü" olduğuna inanıyor olsa da, çok muhafazakar bir tahmindir.
Bugün bir tweette, kar amacı gütmeyen, alıcıların, Internet Numaraları (ARIN) veritabanı için Amerikan Kayıt Defteri'nden kazındığını söyledi.
Bu bir şakaya benzerken, e-postaların, mesajın başlıkları olarak FBI'nin sunucularından kaynaklandığından şüphe yoktur.
Başlıklar ayrıca e-postaları işleyen aşağıdaki FBI dahili sunucuları da gösterir:
FBI, e-postaların içeriğinin sahte olduğunu ve helpdesk'in endişeli yöneticilerden gelen aramalarla su basması nedeniyle konuyu çözmek için çalıştıklarını doğruladı.
BleepingComputer'a yapılan açıklamada, FBI devam eden bir durum olmaktan dolayı daha fazla bilgi paylaşamadıklarını söyledi.
"FBI ve CISA, bir @ ic.fbi.gov e-posta hesabından sahte e-postalar içeren olayın farkındadır. Bu devam eden bir durumdur ve şu anda herhangi bir ek bilgi sağlayamıyoruz. Teşvik etmeye devam ediyoruz Halkın bilinmeyen gönderenlerin temkinli olmaları ve şüpheli etkinlikleri www.ic3.gov veya www.cisa.gov'a bildirmenizi sağlar. " - FBI.
Bu kampanyanın arkasında olan kim, sahte tedarik zinciri saldırısından sorumlu olan Tehdit Oyuncu olarak adlandırılan, karanlık web istihbarat şirketi Shadowbyte'nin kurucusu olan Vinny Troia'yı takip etmekten motive edildi.
Raidffforum Hack Topluluğu'nun üyeleri, Troia ile uzun süredir devam eden bir dava ve genel olarak web sitelerini dağıtmakta ve güvenlik araştırmacısına suçladıkları küçük hackleri uyguladılar.
Bu spam kampanyası hakkında tweetlemek, Vinny Troia, "PompoMourin" olarak bilinen birinin saldırının olası yazarı olarak işaret etti. Troia, bireyin geçmişte güvenlik araştırmacının itibarına zarar vermeyi amaçlayan olaylarla ilişkilendirdiğini söylüyor.
BleepingComputer'la konuşan Troia, "En iyi tahminim 'Pompourin' ve Minyonlar grubu [bu olayın arkasında] olduğunu söyledi."
"En son onlar [Pompompurin], Kayıp Çocuklar İçin Ulusal Merkezi Hacked Onlar Site Blogu ve Pedofil Olduğum Hakkımda Bir Gönderi Yaptı" - Vinny Troia
Bu varsayım, "Pompompmonin ', Spam E-posta Kampanyaları, araştırmacıyı içeren bir şeyin gerçekleşmesi için bir uyarı olarak" zevk "diymeye başlamadan birkaç saat önce' Pompompmonin 'ile iletişime geçtiği gerçeğiyle desteklenmektedir.
Troia, araştırmacıyı taciz etmek için bir saldırı başlattıklarında 'Pompompurin' mesajlarını 'Pompompurin' dedi.
Güncelleme 11/13/21: FBI'den eklenen ifade.
Windows 10 App Installer Bazarloader Malware saldırılarında kötüye kullanıldı
Boşluk balauru korsanları - Kiralama için çalınan posta kutuları satmak ve özel veriler
Gmail hesapları, tüm yemleme e-posta saldırılarının% 91'inde kullanılmaktadır.
FBI, İranlı bilgisayar korsanlarının ABD org'sının çalınan verilerini satın almak istediği konusunda uyardı
Operasyon Cyclone Fırsatları Plop Ransomware işlemine darbe
Kaynak: Bleeping Computer