0
Hacker Zielen auf Energie-Unternehmen, darunter diejenigen, die in Kernkraftwerken und anderen kritischen Infrastrukturen-Anbieter, mit einer Technik, stellt eine neue spin auf einem versucht-und-getesteten form von cyberattack.
Phishing hat längst eine erfolgreiche Methode des Angriffs, mit denen Internetkriminelle crafting eine legitim aussehende E-Mail und senden Sie es an das Opfer zusammen mit einem schädlichen Anhang. Einmal ausgeführt, es führt einen code zum löschen von malware, die verwendet werden können, für ransomware, um Daten zu stehlen, oder eine andere form von Angriff.
Aber jetzt können Angreifer laufen phishing-Kampagnen ohne bösartigen code, eingebettet in eine Anlage, statt das herunterladen einer Vorlage-Datei-Injektion über eine SMB-Verbindung zu geräuschlos Ernte Anmeldeinformationen, nach Ansicht der Forscher an Talos Intelligenz.
Während der Angriff Methode wird derzeit nur genutzt, um Daten zu stehlen, die Forscher warnen, könnte es eingesetzt werden, fallen andere malware.
Es ist die neueste in einer Reihe von Angriffen, die ausgenutzt SMB-Fehler-obwohl, im Gegensatz zu Petya oder WannaCry, es gibt keine bekannte Beziehung zwischen dieser und EternalBlue, die durchgesickerten NSA-windows-Schwachstelle, die wurde verwendet, um die Durchführung der globalen ransomware-Attacken.
Cyberattacken gegen kritische Infrastrukturen sind kein neues Phänomen, und seit Mai 2017 Hacker haben mit dieser neuen Technik Zielgruppe Energie-Unternehmen auf der ganzen Welt, vornehmlich in Europa und den USA, mit dem Ziel, stehlen die Anmeldeinformationen der Mitarbeiter in kritischen Infrastrukturen. Es ist noch nicht bekannt wer hinter den Angriffen, oder wo Sie sind.
Wie bei anderen phishing-Kampagnen, die diesen Angriff verwendet E-Mails relevant für die Ziele als Lockmittel. In diesem Fall werden die E-Mails oft behaupten, Umweltberichte oder einen Lebenslauf, und kommen mit einem angehängten Word-Dokument, das versucht, die Ernte Daten, wenn Sie geöffnet.
Eine phishing-Nachricht verwendet, die von den Angreifern.
Bild: Talos
Forscher sagen, dass diese Dokumente enthielt ursprünglich keine Anzeichen von Kompromiss oder bösartige Makros in Verbindung mit dieser Art von Kampagne. Jedoch, die Anlagen stattdessen schauen, laden Sie eine Vorlage-Datei von einer bestimmten IP-Adresse, die Forscher fanden heraus, anstelle von code, enthalten Anweisungen für eine Vorlage Injektion, die Verbindung zu einem externen server über SMB.
Jedoch, während der Angriff durchgeführt wird, durch die Ausnutzung von SMB, die phishing selbst erfolgt über HTTPS und die Anmeldeinformationen des Benutzers werden geerntet, über die Basic-Authentifizierung mit einer Eingabeaufforderung für die Anmeldeinformationen.
Talos reagierte auf die Angriffe durch Kontaktaufnahme mit den betroffenen Kunden und sorgt für “Sie waren sich dessen bewusst und in der Lage Reaktion auf die Bedrohung”.
Die Forscher sagen auch, dass diese Bedrohung “, veranschaulicht die Bedeutung der Kontrolle der Datenverkehr im Netzwerk und nicht mit dem outbound-Protokolle wie SMB, außer denen, die speziell für Ihre Umgebung erforderlich”.
Aber Talos sagt, es ist nicht in der Lage zu teilen, alle Indikatoren der Kompromiss oder die speziell wurde Ziel, durch die “die Natur, die wir erhalten Intelligenz im Zusammenhang mit diesen Angriffen”.
LESEN SIE MEHR ÜBER CYBERKRIMINALITÄT
Russische Hacker-Ziel der kritischen Infrastruktur und die Demokratie, warnt UKHackers targeting US nuclear power plants [CNET]Durchgesickerten NSA hacking exploit verwendet in WannaCry ransomware ist jetzt einschalten Trojan malwareHow Hackern angegriffen, die Ukraine Stromnetz: Implikationen für Industrielle IoT-securityMassive cyberattack auf UNS kritische Infrastruktur Treffer innerhalb der 2 Jahre, sagen 60% der Sicherheit vor [TechRepublic]
0