Bilgisayar korsanları, kurumsal ağlara ilk erişim elde etmek için geri arama kimlik avı e-postalarında CrowdStrike gibi tanınmış siber güvenlik şirketlerini taklit ediyor.
Çoğu kimlik avı kampanyası, kötü amaçlı yazılım yüklemek için kötü amaçlı ekler içeren oturum açma kimlik bilgilerini veya e-postaları çalan açılış sayfalarına bağlantılar yerleştirir.
Bununla birlikte, geçtiğimiz yıl boyunca, tehdit aktörleri, bir sorunu çözmek, abonelik yenilemeyi iptal etmek veya başka bir sorunu tartışmak için bir numarayı aramanızı isteyen tanınmış şirketlerin kimliğine bürünen “geri arama” kimlik avı kampanyalarını giderek daha fazla kullandı.
Hedef numaraları aradığında, tehdit aktörleri, kullanıcıları kurumsal ağlara ilk erişim sağlayarak cihazlarına uzaktan erişim yazılımı yüklemeye ikna etmek için sosyal mühendisliği kullanır. Bu erişim daha sonra tüm Windows etki alanının güvenliğini aşmak için kullanılır.
Siber güvenlik şirketlerini taklit etme
Yeni bir geri arama kimlik avı kampanyasında, bilgisayar korsanları, alıcıları kötü niyetli ağ davetsiz misafirlerin iş istasyonlarının güvenliğini ihlal ettiği ve kapsamlı bir güvenlik denetiminin gerekli olduğu konusunda uyarmak için CrowdStrike’ın kimliğine bürünüyor.
Bu geri arama kimlik avı kampanyaları, aşağıdaki e-posta snippet’inde gösterildiği gibi, alıcının cihazına neden erişim verilmesi gerektiğini ayrıntılı olarak açıklayan sosyal mühendisliğe odaklanmıştır.
“Günlük ağ denetimi sırasında, iş istasyonunuzun parçası olduğu ağ segmentiyle ilgili anormal etkinlik belirledik. Ağı yöneten belirli etki alanı yöneticisini belirledik ve bu ağdaki tüm iş istasyonlarını etkileyebilecek olası bir uzlaşmadan şüpheleniyoruz. sizinki de dahil olmak üzere, tüm iş istasyonlarının detaylı denetimini yapıyoruz.
Halihazırda bilgi güvenliği departmanınızla doğrudan iletişime geçtik, ancak konum iş istasyonunun olası tehlikeye girmesini ele almak için bizi bu iş istasyonunun bireysel operatörlerine, yani çalışanlara yönlendirdiler.”
Sonuç olarak, kimlik avı e-postası, çalışanlardan iş istasyonlarının güvenlik denetimini planlamak için kapalı bir telefon numarasından onları aramalarını ister.
Çağırılırsa, bilgisayar korsanları, tehdit aktörlerinin iş istasyonu üzerinde tam kontrol elde etmelerini sağlayan uzaktan yönetim araçları (RAT’ler) kurarak çalışana rehberlik edecek.
Bu tehdit aktörleri artık ağ üzerinden yanlamasına yayılmalarına, kurumsal verileri çalmalarına ve cihazları şifrelemek için potansiyel olarak fidye yazılımı dağıtmalarına olanak tanıyan ek araçları uzaktan yükleyebilir.
İçinde CrowdStrike’ın raporuşirket, önceki geri arama kimlik avı kampanyalarında görüldüğü gibi, bu kampanyanın büyük olasılıkla bir fidye yazılımı saldırısına yol açacağına inanıyor.
CrowdStrike, “Bu, siber güvenlik varlıklarını taklit eden ilk tanımlanmış geri arama kampanyasıdır ve siber ihlallerin acil doğası göz önüne alındığında daha yüksek potansiyel başarıya sahiptir” diye uyarıyor.
CrowdStrike, Mart 2022’de analistlerinin, tehdit aktörlerinin Kobalt Strike’ı yüklemek için AteraRMM’yi kullandığı ve ardından kötü amaçlı yazılım dağıtmadan önce kurbanın ağında yanlamasına hareket ettiği benzer bir kampanya tespit ettiğini belirtiyor.
Muhtemelen Quantum fidye yazılımıyla bağlantılı
Geri arama kimlik avı kampanyaları, 2021’de BazarCall kimlik avı kampanyaları Conti fidye yazılımı çetesi tarafından şirket ağlarına ilk erişim sağlamak için kullanılır.
O zamandan beri, geri arama kimlik avı kampanyaları, aşağıdakiler de dahil olmak üzere çeşitli yemler kullandı: antivirüs ve destek abonelikleri ve çevrimiçi kurs yenilemeleri.
AdvIntel’den Vitali Kremez, BleepingComputer’a CrowdStrike tarafından görülen kampanyanın kendi BazarCall benzeri kampanyalarını başlatan Quantum fidye yazılımı çetesi tarafından yürütüldüğüne inanıldığını söyledi.
“AdvIntel, 21 Haziran 2022’de, Quantum’un, bir kurbanı tehdit aktörünün kurbanın bir “gözden geçirmesini” gerçekleştirmesine izin vermeye ikna etmek amacıyla bir Mandiant veya CrowdStrike BT uzmanının kimliğine bürünen bir tehdit aktörüne dayalı yeni bir IOC hazırladığını keşfetti. makine.” şirketinden bir rapor okuyun Andariel Tehdit Önleme BleepingComputer ile paylaşılan çözüm.
Quantum, son zamanlarda PFC’ye yapılan bir saldırıya atfedilen, şu anda en hızlı yükselen kurumsal hedefli fidye yazılımı operasyonlarından biridir. 650’den fazla sağlık kuruluşunu etkiledi.
Güvenlik analistleri ayrıca, birçok eski Conti üyesinin, araştırmacılar ve kolluk kuvvetleri tarafından artan inceleme nedeniyle eski operasyon kapatıldıktan sonra gemiyi Quantum’a atladığını doğruladı.
Geçmişte bu tür kimlik avı e-postalarının kitlesel başarı bulması zor olsa da, mevcut durumda, birçok çalışanın evden ve BT ekiplerinden uzakta çalıştığı bir ortamda, tehdit aktörlerinin beklentileri önemli ölçüde artıyor.