» »

Napadalci SolarWinds znova udarili s phishing kampanjo

Napadalci SolarWinds znova udarili s phishing kampanjo

Primer phishing sporočila. Vir: Microsoft

Slo-Tech - Kot so sporočili iz Microsofta, je minuli teden vnovič potekala obsežna phishing kampanja, izvajala pa naj bi jo ruska hekerska skuina Nobellium, znana tudi pod imeni APT29, Cozy Bear in the Dukes, sloveča tudi po lanskih napadih SolarWinds. Tokratni napad je obsegal pošiljanje phishing sporočil na okoli 3000 naslovov v približno 150 podjetjih in drugih organizacijah. Pošta je prihajala z uradnega marketinškega poštnega računa ameriške Agencije za mednarodni razvoj (USAID), nad katerim so si napadalci že prej uspeli zagotoviti nadzor.

Nekatera sporočila so vsebovala povezavo s klikabilnim naslovom, denimo Trump objavil nove dokumente o volilni prevari, po kliku se je uporabnik sprva našel na dejanskem strežniku z imenom Constant Contact service USAID, od koder so ga nato preusmerili na strežnik Nobelliuma, kjer je skupek kode v JavaScriptu prenesel in pognal zlobno kodo in v sistem prenesel ISO datoteko. Ta je vsebovala PDF datoteko, LNK datoteko z imenom Reports in skrito datoteko DLL. Ko je uporabnik kliknil na Reports, se mu je za krinko odprla PDF datoteka, v ozadju pa je DLL namestil backdoor NativeZone, prek katerega so napadalci dobili nadzor nad sistemom. Ta je omogočal praktično vse, od kraje podatkov, do širjenja okužbe na druge računalnike v sistemu.

Preiskovalci so v sporočilih naleteli na štiri nove družine malwara, HTML priponko z imenom EnvyScout za krajo poverilnic Windows računov, modul za prenos oz. downloader BoomBox, zaganjalnik oz. loader NativeZone in modul za prenos in zagon zlobne kode za povezavo s command&control strežnikom VaporRage. Več podrobnosti o napadih in uporabljenih orodjih je Microsoft objavil tukaj.

Iz varnostnega podjetja FireEye pa so sporočili, da je ob napadih pod masko USAID potekalo še nekaj drugih kampanj, ki so uporabljala drugačne vabe, denimo diplomatska sporočila in vabila posameznih veleposlaništev, denimo belgijskega.

2 komentarja

mtosev ::

Glede na pogostost teh dogodkov imajo očitno slabo varnost. Bodo rabili več denarja investitati v to področje.
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 3600mhz Gskill
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UP3017
moj oče darko 1960-2016, moj labradorec max 2002-2013

Isotropic ::

je glede Solarwinds hacka kaj novega ali je veliko stvari Secret?
mislil sem, da bodo mogle firme vsaj v letnih poročilih objaviti, da so bile shackane.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Exchange strežniki zdaj napadeni še z ransomwarom

Oddelek: Novice / Varnost
113607 (1926) RedDrake
»

ZDA pod udarom širokopoteznega hekerskega napada

Oddelek: Novice / Varnost
174908 (2192) Spock83
»

Najdena resna varnostna ranljivost v AJPESovi podpisni komponenti (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
20145481 (28035) jukoz
»

Novi varnostni mehanizmi slovenskih bank (strani: 1 2 )

Oddelek: Novice / Varnost
7110186 (6677) CaqKa
»

NLB tarča phishing-a (strani: 1 2 3 )

Oddelek: Novice / Zasebnost
11918148 (6587) Poldi112

Več podobnih tem