Bilgisayar korsanları, kurumsal ağlara ilk erişim elde etmek için geri arama kimlik avı e-postalarında tanınmış siber güvenlik şirketlerini taklit ediyor. CrowdStrike yakın zamanda hedef alındı.
Çoğu kimlik avı kampanyası kötü amaçlı bağlantılar yerleştirir kötü amaçlı yazılım yüklemek için zararlı ekler içeren oturum açma kimlik bilgilerini veya e-postaları çalan açılış sayfalarına yol açar.
Geçtiğimiz yıl boyunca, tehdit aktörleri, mağdurlardan bir sorunu çözmek, bir aboneliği iptal etmek veya diğer sorunları tartışmak için bir numarayı aramalarını isteyen tanınmış siber güvenlik şirketlerini taklit eden “geri arama” kimlik avı kampanyalarını giderek daha fazla kullandılar.
Hedef numarayı aradığında, tehdit aktörleri, kullanıcıları cihazlarına uzaktan erişim yazılımı yüklemeye ikna etmek için sosyal mühendislik taktikleri kullanır. Bu, tehdit aktörlerine kurumsal ağlara erişim sağlar. Bu erişim daha sonra tüm Windows etki alanının güvenliğini aşmak için kullanılır.
Sosyal mühendisliğe odaklanan, CrowdStrike kimliğine bürünen bilgisayar korsanlarının alıcıları kötü niyetli bir ağ davetsiz misafirinin iş istasyonlarının güvenliğini tehlikeye attığı ve acilen derinlemesine bir güvenlik denetiminin gerekli olduğu konusunda uyarmaya çalıştığı yeni bir kimlik avı kampanyası yakın zamanda ortaya çıktı.
E-posta, çalışanlardan denetimi planlamak için ekteki bir telefon numarasından aramalarını ister.
Çağrılırsa, bilgisayar korsanları, tehdit aktörüne iş istasyonu üzerinde tam kontrol sağlayan uzaktan yönetim araçları (RAT’ler) kurarak bir çalışana rehberlik eder.
Daha sonra başka araçlar, tehdit aktörü tarafından uzaktan yüklenir ve bu da bunların ağ üzerinden yanlamasına yayılmalarına, potansiyel olarak veri çalmalarına ve cihazları şifrelemek için fidye yazılımı dağıtmalarına olanak tanır.
CrowdStrike, “bu, siber güvenlik varlıklarını taklit eden ilk tanımlanmış geri arama kampanyası ve siber ihlallerin acil doğası göz önüne alındığında daha yüksek potansiyel başarıya sahip” diye uyarıyor.
Mart 2022’de, CrowdStrike analistleri, tehdit aktörlerinin AteraRMM’yi Cobalt Strike’ı yüklemek için kullandığı ve ardından kötü amaçlı yazılım dağıtmadan önce kurbanın ağında yanlamasına hareket ettiği benzer bir kampanya belirledi.