Rhadamanthys kötü amaçlı yazılım hizmet olarak (MaaS) güncellenmiş bir sürümü, petrol ve gaz şirketlerine karşı kullanılıyor ve kayda değer bir başarıya sahip yeni ve etkili bir yem kullanılıyor.
E-posta güvenlik analistlerinden gelen yeni bir flaş uyarıya göre, Cofense, “Federal Ulaştırma Bürosu”ndan gelen iletişim olarak gizlenen e-postaları ve bir PDF dosyasını kullanan kampanyayı izliyor. Böyle bir büro mevcut değildir ve Ulaştırma Bakanlığı ile Ulaştırma İstatistikleri Bürosu'nun bir kapsamı olabilir.
“Bu özel sektörün neden böyle olduğu açık değil [being targeted]ancak tehdit aktörlerinin hedef değiştirmeye karar vermesi durumunda kampanya mevcut haliyle çoğu sektör için geçerli olabilir.” Kahve uyarısı açıkladı. “Kampanya aktif olarak e-posta gönderirken, endişe verici bir hızla hedeflere başarıyla ulaşıyordu.”
Kampanya, kampanyadan sadece birkaç gün sonra ortaya çıktı. LockBit'in kaldırılması Analistler Şubat ayında bunun gerçekleştiğini söyledi. Cofense, Rhadamanthys'in en son sürümü olan 5.0'ın, kaçırma ve veri çalma yeteneklerindeki iyileştirmelerle 2024'ün başlarında güncellendiğini ekledi.
Araştırmacılar, kimlik avı e-postalarının da dikkatle oluşturulduğunu belirtti. Kimlik avcıları, “Bildirim: Aracınızla İlgili Olay” ve “Dikkat Gerekiyor: Aracınızın Çarpışması” gibi çok sayıda kışkırtıcı konu satırı hazırladılar.
Cofense, “Araç olaylarını kimlik avı tuzağı olarak kullanmak her ne kadar tuhaf görünse de, buradaki tehdit aktörleri, e-postalarının enfeksiyon zinciriyle birlikte alıcının duygularını hedeflemesini sağlamak için büyük çaba harcıyor” diye ekledi. “Her e-posta gövdesi ve konusu bir sonrakinden farklıdır, ancak bunlar bir çalışana bir araba kazasının işveren bildirimi, olası yasal işlemler ve hatta kolluk kuvvetleriyle iletişime geçme bildirimi yoluyla bildirilmesiyle özetlenebilir.”