MKD-CIRT National Centre for Computer Incident Response

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Американските сајбер-безбедност и разузнавачки агенции предупредија за нападите на откупниот софтвер „Фобос“ насочени кон владините и критичните инфраструктурни ентитети, наведувајќи ги различните тактики и техники што актерите за закана ги усвоиле за распоредување на малициозен софтвер што шифрира датотеки.

„Структуриран како модел на откупен софтвер како услуга (RaaS), актерите на откупниот софтвер „Фобос“ таргетираа ентитети, вклучувајќи општински и окружни влади, служби за итни случаи, образование, јавно здравство и критична инфраструктура за успешно да откупат неколку милиони во американски долари“, рече владата .

Советите доаѓаат од Американската агенција за кибер-безбедност и инфраструктурна безбедност (CISA), Федералното биро за истраги (ФБИ) и Мулти-државен центар за споделување и анализа на информации (MS-ISAC).

Активен од мај 2019 година, досега се идентификувани повеќе варијанти на откупни софтвер Фобос, имено Екинг, Ејт, Елби, Девос, Фауст и Бакмидата. Кон крајот на минатата година, Cisco Talos  revealed  дека актерите за закана зад откупниот софтвер 8Base користат варијанта на откупнина Phobos за да ги спроведат своите финансиски мотивирани напади.

Постојат докази кои сугерираат дека Phobos веројатно е тесно управуван од централна власт, која го контролира приватниот клуч за дешифрирање на откупниот софтвер.

Синџирите за напади кои го вклучуваат видот на откупни софтвери вообичаено го користат фишингот како иницијален пристапен вектор за отфрлање на тајни носивост како SmokeLoader. Алтернативно, ранливите мрежи се пробиени со лов на изложени RDP услуги и нивно искористување со помош на напад со брутална сила.

Успешното дигитално пробивање е проследено со тоа што актерите на закана исфрлаат дополнителни алатки за далечински пристап, искористувајќи ги process injection techniques  за извршување на злонамерен код и избегнување откривање, и правење модификации на регистарот на Windows за да се одржи упорноста во компромитирани средини.

„Дополнително, забележани се актерите на Phobos како користат вградени функции на Windows API за да крадат токени, да ги заобиколат контролите за пристап и да создаваат нови процеси за зголемување на привилегиите со користење на процесот SeDebugPrivilege“, велат агенциите. „Актерите на Phobos се обидуваат да се автентицираат користејќи хашови на кеширани лозинки на машините-жртви додека не стигнат до администраторски пристап до доменот“.

Групата за е-криминал исто така е позната по тоа што користи алатки со отворен код како што се Bloodhound и Sharphound за набројување на активниот директориум. Ексфилтрацијата на датотеката се  accomplished  преку WinSCP и Mega.io, по што копии во сенка на волуменот се бришат во обид да се отежне закрепнувањето.

Откривањето доаѓа откако Bitdefender детално детализираше прецизно координиран напад на ransomware кој влијае на две одделни компании во исто време. Нападот, опишан како синхронизиран и повеќеслоен, му се припишува на актерот за откуп, наречен CACTUS.

„CACTUS продолжи да се инфилтрира во мрежата на една организација, вградувајќи различни видови алатки за далечински пристап и тунели низ различни сервери“, рече Martin Zugec, директор за технички решенија во Bitdefender, во извештајот објавен минатата недела.

„Кога идентификуваа можност да се преселат во друга компанија, тие моментално ја прекинаа својата работа за да се инфилтрираат во другата мрежа. Двете компании се дел од истата група, но работат независно, одржувајќи посебни мрежи и домени без воспоставен однос на доверба.

Нападот е забележлив и по таргетирањето на инфраструктурата за виртуелизација на неименуваната компанија, што покажува дека актерите на CACTUS го прошириле својот фокус надвор од домаќините на Windows за да ги нападнат хостовите на Hyper-V и VMware ESXi.

Тој, исто така, искористи критичен безбедносен пропуст ( CVE-2023-38035 , CVSS резултат: 9,8) во серверот Ivanti Sentry изложен на интернет помалку од 24 часа по неговото првично обелоденување во август 2023 година, уште еднаш потенцирајќи опортунистичко и брзо вооружување на новообјавените пропусти .

Ransomware продолжува да биде главен фактор за вртење пари за финансиски мотивираните актери за закани, при што првичните барања за откупни софтвер достигнаа median of $600,000  во 2023 година, што е скок од 20% во однос на претходната година, според Arctic Wolf. Од кварталот 4 2023 година, average ransom payment  изнесува 568.705 долари по жртва.

Уште повеќе, плаќањето барање за откуп does not amount to future protection. Не постои гаранција дека податоците и системите на жртвата ќе бидат безбедно обновени и дека напаѓачите нема да ги продаваат украдените податоци на подземни форуми или повторно да ги нападнат.

Податоците shared  од компанијата за сајбер-безбедност Cybereason покажуваат дека „неверојатни 78% [од организациите] биле повторно нападнати откако го платиле откупот – 82% од нив во рок од една година“, во некои случаи од истиот актер за закана. Од овие жртви, 63% биле „замолени да платат повеќе по втор пат“.

Извор: thehackernews

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Нов комплет за фишинг наречен CryptoChameleon се користи за таргетирање на вработените во Федералната комисија за комуникации (FCC), користејќи специјално изработени страници за едно најавување (SSO) за Okta кои изгледаат неверојатно слични на оригиналите.

Истата кампања, исто така, ги таргетира корисниците и вработените на платформите за криптовалути, како што се Binance, Coinbase, Kraken и Gemini, користејќи фишинг страници кои имитираат Okta, Gmail, iCloud, Outlook, Twitter, Yahoo и AOL.

Coinbase and Google account phish
Source: Lookout

Напаѓачите организираат комплексен фишинг и социјален инженерски напад кој се состои од е-пошта, СМС и гласовно фишинг за да ги измамат жртвите да внесуваат чувствителни информации на страниците за фишинг, како што се нивните кориснички имиња, лозинки и, во некои случаи, дури и идентификација на фотографии.

Фишинг операцијата откриена од истражувачите во  Lookout  наликува на  кампањата Oktapus од 2022 година  спроведена од  хакерската група Scattered Spider  , но нема доволно докази за сигурна атрибуција.

Повеќестран социјален инженерски напад

Актерите на заканата го подготвуваат нападот прво регистрирајќи домени кои многу наликуваат на оние на легитимните ентитети. Во случајот со FCC, тие создадоа „fcc-okta[.]com“, што се разликува само за еден знак од легитимната страница за единечна пријавување на Okta на FCC.

Напаѓачите може да се јават, е-пошта или СМС на целта, преправајќи се дека се поддршка на клиентите, насочувајќи ги кон страницата за фишинг за да ги „повратат“ нивните сметки.

За Coinbase, текстовите се преправаа дека се предупредувања за сомнителни предупредувања за најавување, насочувајќи ги корисниците на страници за фишинг, како што е прикажано подолу.

SMS phish (left) and a matching phishing page (right)
Source: Lookout

Жртвите кои стигнуваат до локацијата за фишинг се поттикнати да решат предизвик CAPTCHA, за кој Lookout вели дека служи и за филтрирање на ботови и за додавање легитимност на процесот на фишинг.

Оние кои ќе го поминат тој чекор се среќаваат со добро дизајнирана страница за фишинг што се појавува како точна реплика на вистинската локација за најавување на Okta.

FCC phishing page (left) and fake waiting page (right)
Source: Lookout

Комплетот за фишинг распореден од сајбер-криминалците им овозможува да комуницираат со жртвите во реално време за да ги олеснат сценаријата како барање дополнителна автентикација во случај кога се потребни кодови за повеќефакторска автентикација (MFA) за да се преземе сметката на целта.

Централниот панел што го контролира процесот на фишинг им овозможува на напаѓачите да ја приспособат страницата за фишинг за да ги вклучи цифрите на телефонскиот број на жртвата, со што барањата за СМС-токени изгледаат легитимни.

Откако ќе заврши процесот на фишинг, жртвата може да биде пренасочена на страницата за најавување на вистинската платформа или на лажен портал на кој се наведува дека нивната сметка е под преглед.

Двете дестинации се користат за да се намали сомнежот од страната на жртвата и да им се даде на напаѓачите повеќе време да ги искористат украдените информации.

Копање подлабоко

Lookout доби увид во дополнителните цели во просторот на криптовалутите со анализа на комплетот за фишинг и пронаоѓање на соодветните мами.

Истражувачите, исто така, добија краткорочен пристап до заднинските дневници на напаѓачот, потврдувајќи дека кампањата генерирала компромиси со висока вредност.

„Се чини дека сајтовите успешно фалсификувале повеќе од 100 жртви, врз основа на забележаните дневници“, објаснува Lookout.

„Многу од сајтовите се сè уште активни и продолжуваат да фалат за повеќе ингеренции секој час“.

Актерите за закана првенствено ги користеа Hostwinds и Hostinger за да ги хостираат нивните страници за фишинг кон крајот на 2023 година, но подоцна се префрлија на руската RetnNet, која може да понуди подолг оперативен период за сомнителни страници.

Lookout не можеше да утврди дали комплетот за фишинг CryptoChameleon се користи исклучиво од еден актер за закана или е изнајмен на повеќе групи.

Без оглед на тоа кој стои зад комплетот, неговата напредна природа, стратегијата за таргетирање и комуникациските методи на неговите оператори и високиот квалитет на материјалите за фишинг го нагласуваат влијанието што може да го има врз целните организации.

Список на показатели за компромис, вклучувајќи ги командните и контролните сервери и локациите за фишинг, може да се најде на дното на статијата на Lookout.

Извор: bleepingcomputer

Достапно на / Dispozicion në: Albanian (Albanian) English (English)