Kuzey Amerika’daki küçük bir grup taşımacılık ve lojistik şirketi, kurnaz iş e-postası uzlaşma (BEC) saldırılarının hedefi oldu.
Mayıs ayından bu yana, bilinmeyen bir tehdit aktörü, hedeflediği şirketlerle ilişkili en az 15 e-posta hesabını silah haline getirdi. 24 Eylül’de yayınlanan bir blogda Proofpoint araştırmacıları şunu söyleyemedi: Tehdit aktörünün erişimi ilk kez nasıl elde ettiği bu hesaplara. Bilinen şey, saldırganın hesapları, ilk erişimdeki kötü amaçlı yazılımları mevcut e-posta zincirlerinin içine gömmek için kullandığı ve alıcıların, meslektaşlarıyla devam eden görüşmelere karşı gardlarını düşüreceklerine dair bahse giriyor.
Proofpoint’in tehdit araştırması direktörü Daniel Blackford, “İplik ele geçirmenin kesinlikle çok etkili olduğunu” söylüyor. “Bir hesap ele geçirildiğinde, bu artan meşruiyet, en dikkatli olanlar dışında herkesin bunu fark etmesini çok daha zorlaştırıyor.”
Özel Kimlik Avı Saldırıları
Tehdit aktörü, mayıs ayından temmuz ayına kadar öncelikle İnternet kısayolu (URL) dosyalarına yönlendiren yükleri Google Drive dosyalarının içine sakladı. Saldırı zinciri yürütüldüğünde, uzak bir paylaşımdan yürütülebilir bir dosyayı almak için sunucu mesaj bloğunu (SMB) kullanır; bu, bilinen bir dizi farklı kötü amaçlı yazılım aracından birini yükler. Bunlar arasında: Bugün dünyanın en yaygın bilgi hırsızı olan Lumma; çalmakC; ve meşru araç NetSupport.
Ağustos ayında saldırgan kullanmaya başladı. “ClickFix” tekniği Kurbanları kötü amaçlı yazılımlarını indirmeleri için kandırdığı için. ClickFix ile kötü amaçlı bir web sayfası kurbana sahte bir açılır hata mesajı sunar. Bir dizi diyalog kutusu aracılığıyla kurbana, soruna ilişkin varsayılan düzeltmeyi kopyalayıp bir PowerShell terminaline veya Windows Çalıştırmasına yapıştırması talimatı verilir. Aslında sözde düzeltme, yürütülebilir bir dosyayı indiren ve çalıştıran bir komut dosyasıdır. Bu son kimlik avı girişimlerinde indirilecek yürütülebilir dosyalar arasında DanaBot ve Arechclient2 (diğer adıyla SectopRAT) yer alıyordu.
Kurbandan çok daha aktif katılım ve teknik şakalar istemesine rağmen ClickFix’in neden işe yaradığı kafa karıştırıcı görünebilir.
Blackford, “Gerçekten karmaşık saldırı zincirlerinin neden çalıştığının ardındaki insan psikolojisi beni her yıl şaşırtmaya devam ediyor” diye itiraf ediyor. Ancak bir teorisi var. “Duyduğum bir şey, BT ile uğraşmanın can sıkıcı olabileceğiydi, yani eğer ‘çözüm’ tam önünüzdeyse ve bir yardım masasıyla iletişim kurmanıza ve uzaktan iletişim kurmanıza gerek yok. sisteminizin bunları düzeltmesini sağlarsanız belki de bunu kendiniz yapmaya çalışmak aslında daha az sorun olur.”
Taşımacılık ve Lojistik Neden Cazip Hedefler Haline Geliyor?
Çeşitli tehdit aktörleri ClickFix’i sahte Windows ve Chrome güncellemelerinin arkasına gizledi. Bu durumda saldırgan, filo ve yük yönetimi konusunda son derece uzmanlaşmış platformlar olan Samsara, AMB Logistics ve Astra TMS’nin kimliğine büründü ve bu da kampanyanın yüksek düzeyde hedefli doğasını ortaya koydu.
Blackford’un belirttiği gibi, nakliye ve lojistik şirketleri finansal amaçlı siber saldırılar için cazip hedefler haline gelebilir. “Birçok kuruluşla, örneğin birçok endüstriyel üreticinin tedarikçileriyle iş yapıyorlar” diyor. “Birçok farklı şirketle yazışacaklar. Çok sayıda hareketli parça olacak – birçok şey girip çıkıyor, sürekli hareket ediyor – yani tek bir şirketten birbiriyle bağlantılı, gelecekteki kurbanları bulmak için pek çok fırsat olacak şirket.”
Hareket halindeki birçok oyuncu ve anlaşmanın arasına gizlice girmek için verimli bir zemine sahip olduğunu belirtiyor ve ekliyor: “Oldukça büyük boyutlarda fiyat teklifi ve fatura talepleri var; yani söz konusu mali durum açısından belki de öncekinden çok daha büyük bir büyüklük sırası. diğer bazı sektörlerde.”
Nadir de olsa şunu ekliyor: “Son zamanlarda tehdit aktörlerinin meşru gönderileri kendi kontrolleri altındaki konumlara yönlendirmeye çalıştıklarına dair bazı kanıtlar var.”