Dalış Kılavuzu:
- “Çok hedefli” bir mızrakfileme kampanyası, dünyadaki bankalarda, yatırım firmalarında, enerji kamu hizmetleri ve sigorta şirketlerinde finansal yöneticileri içermeye çalışıyor, Trellix bir raporda dedi Çarşamba yayınlandı.
- Kötü niyetli e -postalar, bilgisayar korsanlarının mağdur bilgisayarlara uzaktan erişmesine izin veren yükleyicilerle donatılmıştır.
- Meşru hesaplara bu miktarda erişimle, saldırganlar dosyaları çalabilir veya başlatabilir hileli para transferleripotansiyel olarak kırmızı bayrak yükseltmeden.
Dalış içgörü:
Trellix’in gözlemlediği Spearphishing kampanyası, hem teknikleri hem de içerdiği hedefler nedeniyle dikkat çekicidir.
Uzaktan erişim aracı olan Netbird’in kötü niyetli kullanımı, bilgisayar korsanlarının şüphe uyandırmaktan kaçınmak için meşru görünümlü uygulamalara güvenme eğiliminin dikkate değer bir örneğidir.
Tehdit Araştırmaları Kıdemli Müdürü Srini Seethapathy, “Son yıllarda, düşmanlar kalıcılık oluşturmak ve kurbanın ağına doğru ilerlemek için bu gibi uzaktan erişim uygulamalarına giderek daha fazla güveniyorlar.
Trellix’e göre, Spearphing, Netbird kurulumu ve diğer saldırı aşamalarının kombinasyonu, bilgisayar korsanlarının tekniklerinin her zaman geliştiğini ve geliştiğini hatırlatıyor.
Seethapathy, “Bu saldırı tipik kimlik avı dolandırıcılığınız değil,” diye yazdı. “İyi hazırlanmış, hedeflenmiş, ince ve teknolojiyi ve insanları geçecek şekilde tasarlanmıştır. Rakiplerin kurban sistemine kalıcı erişim yaratmak ve sürdürmek için sosyal mühendislik ve savunma kaçırma tekniklerini kullandığı çok aşamalı bir saldırıdır.”
Saldırganların kurban seçimi de önemlidir. Trellix, Spearphishing e-postalarının “hedeflenen firmaların finans departmanındaki CFO’lara ve diğer yönetici düzeyinde çalışanlara gönderildiğini” söyledi.
Finansal yöneticiler, ödeme sistemlerine erişimi kontrol ettikleri için finansal olarak motive edilmiş bilgisayar korsanlarının değerli hedefleri arasındadır. Düşük hatta orta düzey bir finansal çalışanı taklit eden bir hacker, çalışanın amirleri şüpheli olacaksa para çalmakta sorun yaşayabilir. Araştırmacılar, bir CFO veya başka bir yönetici olarak poz vermenin bir saldırgan için daha değerli olacağını belirtti.
Bulaşmamış uzaktan erişim ve üst düzey otorite kombinasyonu, başarılı bir şekilde gerçekleştirilirse bunu güçlü bir saldırı haline getirecektir. Seethapathy, “Bir düşman Netbird gibi bir uzaktan erişim aracı aracılığıyla kalıcı erişim yaratma ve sürdürmede başarılı olduğunda,” diye yazdı Seethapathy, “potansiyel etki çok büyük.”
Trellix’in kurban coğrafyalarını Avrupa, Afrika, Kanada, Orta Doğu ve Güney Asya olarak listeleyen raporuna göre, saldırganlar henüz Amerikan şirketlerini hedeflemediler. Ancak tehdit grupları genellikle bir bölgedeki saldırıları test eder Onları başka bir yere dağıtmakABD şirketlerindeki finansal yöneticilerin yakında bu saldırganların radarında görünebileceğini öne sürüyor.
Trellix, saldırganları tanımlamadı, ancak bazı altyapılarının “uzak erişim araçları ve arka kapılar sağlayan ve kuran en az bir ulus devlet mızrak aktı kampanyasıyla” örtüştüğünü söyledi.
Trellix, bu kampanyanın kurbanı olmaktan kaçınmak için, CFO’ların istenmeyen işe alım e -postalarına, özellikle de ataşmanlar içerdiklerinde şüphecilikle davranmaları gerektiğini söyledi. Şirket ayrıca yöneticileri güvenlik uyarılarını atlamaktan ve güvenlik ekiplerini olağandışı mesajlara karşı uyarmaya teşvik etti.