Dalış Özeti:
- Kötü niyetli aktörler, federal çalışanlara yönelik kimlik avı saldırıları başlatmak için uzaktan yönetim ve izleme yazılımı kullanıyor. yetkililer çarşamba günü uyardı.
- Siber Güvenlik ve Altyapı Güvenliği Ajansı, Ulusal Güvenlik Ajansı ve Çok Devletli Bilgi Paylaşımı ve Analiz Merkezi, Haziran 2022’den bu yana siber suçluların kişisel ve devlet e-posta adreslerini kullanarak sivil yürütme organı teşkilatı personeline yardım masası temalı kimlik avı e-postaları gönderdiğini söyledi.
- Cazibe, hedeflenen kurbanlardan para çalmak için hedeflenen çalışanların kötü niyetli alanlara bağlanmasını sağlamayı amaçlıyor. Ancak yetkililer, aynı taktiklerin bir ağ içinde kalıcılık kazanmak için APT aktörleri tarafından kullanılabileceği konusunda uyarıyorlar.
Dalış Bilgisi:
Saldırılar, federal çalışanlara karşı mali amaçlı saldırılar başlatmak için ScreenConnect – şimdi ConnectWise Control – ve AnyDesk gibi başka türlü meşru RMM araçlarından yararlandı.
Danışma belgesi, Eylül ayında görülen ve bir Geek Squad aboneliğinin kurbanın banka hesabından çekileceğini iddia eden örnek bir kimlik avı e-postası içeriyordu. E-posta, mağdurun aboneliği iptal etmesi ve geri ödeme alması için aramasını sağlayacak bir telefon numarası içerir.
Sivil yürütme organı teşkilatlarındaki personele yönelik saldırılar görülmüş olsa da, federal yetkililer, sofistike aktörlerin aynı teknikleri daha hassas hedeflere karşı kullanabileceklerinden endişe duyuyorlar.
Bir NSA sözcüsü, “Kötü niyetli aktörler, ulusal güvenlik sistemlerini, Savunma Bakanlığı ve savunma sanayi üs personelini ve iş ve ev cihazları ve hesaplarındaki verileri hedeflemek için meşru uzaktan izleme ve yönetim yazılımlarından yararlanabilir” dedi.
Sözcü, bu kurumları ve sistemleri güvence altına alma misyonunun bir parçası olarak, “ağ savunucularının ev ve iş cihazlarını ve hesaplarını kötü aktörlerden koruyabilmeleri için” bu kılavuzu yayınladı.
“Böylece RMM, tüm dünyada ilk erişim, kalıcılık ve veri hırsızlığı için daha belirgin bir vektör haline geldi. [state, local, tribal and territorial governments] Center for Internet Security’de siber tehdit istihbaratı yöneticisi olan TJ Sayers, “Özellikle bu kuruluşlar finansal olarak motive olmuş fidye yazılımı aktörleri tarafından hedef alındığında,” dedi.
Danışma belgesi, PayPal’ı taklit eden suç altyapısını araştıran Silent Push’un araştırmasına atıfta bulunuyor. Araştırmacılar, kimliğine bürünülmüş çok çeşitli markalar buldular ve suç faaliyetleri, bir özel sektörün çok daha geniş bir kesimi.
Silent Push’un kurucusu ve CEO’su Ken Bagnall, “Gözlemlerimiz, bunun daha geniş bir kurban kitlesine yönelik olduğunu ve tüm işletmelerin dikkatli olması gerektiğini gösteriyor” dedi.