Sofistike bir kimlik bilgisi-hasat kampanyası, yıllardır Screenconnect bulut yöneticilerini hedefliyor ve fidye yazılımı saldırılarının kapısını açıyor olabilir, Mimecast’taki araştırmacılar Pazartesi günü yayınlanan bir blog gönderisinde dedi.
Kampanya, ScreAnconnect ortamlarında ayrıcalıklara sahip olan Mızrak-Swish kıdemli BT yöneticilerine tehlikeye atılmış Amazon basit e-posta hizmeti hesaplarını kullanıyor. Mimecast araştırmacılarına göre, bilgisayar korsanları şirketlerin uzaktan erişim altyapısının kapsamlı kontrolünü sağlayan süper yönetici kimlik bilgilerini hedefliyor.
Mimecast araştırmacıları Cybersecurity Dive’a verdiği demeçte, “ScreAnconnect, fidye yazılımı grubunun yalnızca doğru erişim seviyesine sahip birinden kimlik bilgileri elde etmekle kalmayıp, organizasyonel varlıkları anlaması ve daha sonra hazır olduklarında kötü niyetli içeriği zorlamasının harika bir yoludur” dedi.
Kimlik avı sayfaları ortada düşman teknikleri ve araştırmacıların bilgisayar korsanlarının kimlik doğrulamasını atlamasına ve kalıcılığı korumasına izin verdiklerini söyledikleri Evilginx adlı açık kaynaklı bir araç kullanıyor.
2022’de başlayan kampanyanın, Qilin grubunun bağlı kuruluşları tarafından fidye yazılımı etkinliğine bağlantıları var. Saldırganlar, aynı anda birden fazla bilgisayarda kontrol ettikleri screAnconnect örneklerini yüklemek için süper yönetici kimlik bilgilerini kullanabilir, bu da bir ağ boyunca yanal olarak hareket etmelerine yardımcı olur ve fidye yazılımlarını dağıtma yeteneklerini artırır.
Nisan ayında Sophos araştırmacıları Bir saldırı hakkında uyardı Uzaktan İzleme ve Yönetim Aracı için bir kimlik doğrulama uyarısı gibi görünen yönetilen bir servis sağlayıcıya karşı. Bu olay, Qilin fidye yazılım iştiraklerinin yönetici kimlik bilgilerine erişmesine ve aşağı yönlü saldırılar başlatmasına izin verdi.
Sophos MDR olay müdahale yöneticisi Anthony Bradshaw, Cybersecurity Dive’a verdiği demeçte, “Meşru bir Screenconect uyarısı gibi görünen bir kimlik avı e -postası hazırladılar, ancak kötü niyetliydi” dedi.
Qilin “söndürüldü ve çoklu sistemleri şifreledi” dedi Bradshaw, bu kurbanlar için fidye notları bıraktı. Sophos, tehdit faaliyetini STAC4365 adı altında izledi.
Qilin, bir tanesi de dahil olmak üzere birden fazla yüksek profilli saldırıya bağlı olarak hizmet olarak sofistike bir fidye yazılımıdır. Medya devi Lee Enterprises. Grup da Inotiv’e karşı saldırı için kredi talep edildi Bu ayın başlarında.