Threat Fusion Center (TFC), підрозділ BlueVoyant, виявив фішингову кампанію «NaurLegal» із підробленими рахунками-фактурами від юридичних фірм. Зловмисники покладаються на PDF-документи, файли OneNote або Excel, заражені шкідливим програмним забезпеченням.
Зловмисники видають себе за юридичні фірми та зловживають довірою їхніх жертв до постачальників юридичних послуг. Кампанія називається «NaurLegal», і вважається, що атаки організувала кіберзлочинна група Narwhal Spider (також відома як Storm-0302, TA544).
Зловмисники маскують шкідливі PDF-файли під автентичні рахунки-фактури від авторитетних юридичних фірм - тактика, спрямована на заманювання жертв у різних галузях. Кампанія NaurLegal вдає легітимність, створюючи та надсилаючи PDF-файли із законними назвами файлів, наприклад «Рахунок_[номер]_від_[назва юридичної фірми].pdf». Ця стратегія використовує очікування одержувачів регулярного отримання юридичних документів у повсякденному діловому житті. Такий підхід збільшує ймовірність того, що одержувачі відкриють заражені шкідливим програмним забезпеченням файли.
Технічні відомості про використане шкідливе програмне забезпечення
Інфраструктура кампанії NaurLegal включає домени, пов’язані з WikiLoader, і чия подальша діяльність припускає асоціацію з цією сім’єю шкідливих програм. WikiLoader відомий складними методами обфускації, такими як: B. Перевірка відповідей у Вікіпедії щодо певних рядків, щоб обійти пісочниці. Narwhal Spider використовував WikiLoader у минулому, і участь групи в цій кампанії свідчить про те, що додаткові руйнівні шкідливі програми можуть бути розгорнуті в подальшому.
Звіти Virus Total показують, що IcedID може бути можливим корисним навантаженням, пов’язаним із цією кампанією. Крім того, схоже, що інфраструктура C2 цієї кампанії покладається виключно на скомпрометовані сайти WordPress – добре відома тактика, яку використовує Narwhal Spider. Враховуючи конфіденційний характер даних, якими керують організації, що піддаються атаці, включаючи інтелектуальну власність, корпоративні стратегії та особисту інформацію, ставки на успішне вторгнення особливо високі.
Зловмисники розширюють свій охоплення
У минулому кампанії WikiLoader Narwhal Spider в основному були зосереджені на італійських організаціях і поширювали зловмисне програмне забезпечення через різні вкладення електронної пошти, включаючи файли Microsoft Excel, OneNote і PDF. Однак кампанія NaurLegal знаменує собою відхід від цих географічно зосереджених атак і натомість націлена на ширше коло організацій, які, ймовірно, мають справу з судовими законопроектами. Ця зміна стратегії підкреслює адаптивність Павука-Нарвала та його зусилля використовувати різні вразливості та тактику соціальної інженерії.
Атаки на ланцюги поставок і надійні партнерські стосунки продовжують зростати в усьому світі, свідчить звіт BlueVoyant про стан захисту ланцюга поставок за 2023 рік. Розширення діяльності загрозливих акторів, таких як Павук Нарвал, ще більше посилює цю тенденцію.
Рекомендовані захисні заходи
Використання інфікованих шкідливим програмним забезпеченням PDF-файлів, замаскованих під рахунки-фактури від законних юридичних фірм, є ключовим свідченням атак, здійснених у рамках цієї кампанії. Команди безпеки повинні бути обережними щодо надзвичайно великої кількості рахунків-фактур у форматі PDF, особливо тих, які надходять із зовнішніх джерел і мають назву «Рахунок_[номер]_від_[назва юридичної фірми].pdf». Використання сучасних рішень безпеки електронної пошти, здатних аналізувати вкладені файли PDF на наявність шкідливого вмісту, може допомогти виявити та стримати ці загрози.
Окрім перевірки вхідних електронних листів, моніторинг мережевих з’єднань також є важливим методом виявлення таких атак. Кампанія покладається на скомпрометовані веб-сайти WordPress для зв’язку C2, і незвичні шаблони трафіку або стрибки трафіку до та з веб-сайтів WordPress можуть свідчити про можливе зараження.
Більше на bluevoyant.com
Про BlueVoyant
BlueVoyant поєднує внутрішні та зовнішні можливості кіберзахисту в орієнтоване на результат хмарне рішення кібербезпеки, яке постійно відстежує мережі, кінцеві точки, поверхні атак і ланцюги поставок, а також чисту, глибоку та темну мережу на наявність загроз. Продукти й послуги комплексного кіберзахисту швидко виявляють, досліджують і усувають загрози для захисту організацій.