Нова фішингова кампанія намагається нав’язати зловмисне програмне забезпечення енергетичним компаніям та їхнім постачальникам за допомогою вміло підроблених електронних листів, які потім мають використовуватися для шпигування даних доступу.
Згідно з даними фірми з кібербезпеки Intezer, енергетичні, нафтогазові компанії та інші суміжні галузі зараз знаходяться в центрі уваги складної фішингової кампанії. Кампанія, яка триває щонайменше рік, спрямована на впровадження шкідливого програмного забезпечення в мережі компанії, яке потім виявляє імена користувачів, паролі та іншу конфіденційну інформацію та передає її злочинцям. На думку експертів з безпеки Intezer, нинішні справи можуть бути першим етапом більшої кампанії.
Надзвичайно добре побудовані фішингові листи
Вражає те, що описані фішингові електронні листи були надзвичайно добре досліджені і тому на перший погляд здаються законними. Наприклад, вони містять посилання на керівників, адреси офісів, офіційні логотипи та запити пропозицій, контракти та посилаються на реальні проекти, щоб виглядати достовірними. В одному випадку, описаному дослідниками безпеки, конкретний проект електростанції використовувався як приманка у фішинговому електронному листі. З такими чудово дослідженими та підготовленими кампаніями можна говорити про фішинг, оскільки на відміну від звичайного фішингу злочинці діють дуже методично та атакують дуже конкретну ціль, замість того, щоб поширювати свої електронні листи якомога ширше в надії, що хтось потрапити в їхню пастку.
Небезпечний PDF додається
У нинішньому випадку передбачається, що жертви обманом змусять натиснути вкладений файл, замаскований під PDF. Однак насправді це файл IMG, ISO або CAB, який перенаправляє користувача до виконуваного файлу, який, у свою чергу, використовується для занесення шкідливого програмного забезпечення на комп’ютер. Використовуються різні інструменти віддаленого доступу, наприклад програмне забезпечення для віддаленого доступу, наприклад Formbook, Agent Tesla або Loki, які в багатьох випадках пропонуються як шкідливі програми як послуги. Це, у свою чергу, означає, що люди, які стоять за кампанією, не розробляють свої інструменти самі, а просто використовують їх на замовлення. Дослідники безпеки Intezer попереджають, що це має на меті краще замаскувати кампанію, оскільки орендоване шкідливе програмне забезпечення також використовується в інших злочинних діях. Це, у свою чергу, може бути ознакою того, що розглядувані справи є першим етапом більшої кампанії.
Атака на нафтогазові та енергетичні компанії
Електронні листи були надіслані міжнародним компаніям, які працюють у нафтовому, газовому та енергетичному секторах, а також у сфері виробництва та розвитку технологій. Серед них постраждалі в США, Об'єднаних Арабських Еміратах, Німеччині та Південній Кореї. Про людей, які стоять за нападами, наразі нічого не відомо.
Частину використовуваної інфраструктури з тих пір було видалено або вимкнено, але цілком імовірно, що кампанія все ще активна. Тому компаніям слід бути надзвичайно обережними, коли йдеться про вхідні електронні листи. Особливо вкладені файли та посилання становлять ризик, який не слід недооцінювати, навіть якщо відправник і електронний лист виглядають законними.
Більше на 8.com
Про 8com Центр кіберзахисту 8com ефективно захищає цифрову інфраструктуру клієнтів 8com від кібератак. Він включає управління інформацією про безпеку та подіями (SIEM), керування вразливістю та професійні тести на проникнення. Крім того, він пропонує розробку та інтеграцію системи управління інформаційною безпекою (ISMS), включаючи сертифікацію відповідно до загальних стандартів. Заходи з підвищення обізнаності, навчання безпеки та управління реагуванням на інциденти завершують пропозицію.