0
Een screenshot van de nep-Facebook pagina die u gebruikt om slachtoffers te lokken van het hacken van de campagne.
Afbeelding: SecureWorks
Weet je zeker dat je weet wie dat LinkedIn contact echt is? Zij zouden niet zijn wie ze echt aanspraak maken op, maar in plaats van een hacker op zoek te schrapen uw profiel-of erger nog, het manipuleren van je acties.
Cyberespionage activiteit blijkbaar wordt uitgevoerd in opdracht van de Iraanse regering is gericht op organisaties in de financiële -, olie -, technologie, en sectoren, met geavanceerde social engineering gebaseerd rond een enkele, productieve sociale media persona dat is absoluut nep. Haar doel? Installeer Trojan malware op de netwerken van de doelgroep organisaties.
De operatie ontdekt door cybersecurity onderzoekers van SecureWorks, is het werk van een groep, blijkbaar geassocieerd met de Iraanse overheid, die gebruik maakt van spear-phishing te compromis doelen.
Aan het begin van dit jaar, onderzoekers zagen een phishing-campagne targeten van individuen in organisaties, voornamelijk in het Midden-Oosten en Noord-Afrika, met een aantal slachtoffers in de VS. De e-mails algemene vakken opgenomen job aanbiedingen en verzoeken om wachtwoorden opnieuw in te stellen.
Deze kunstaas opgenomen kortgesloten Url ‘ s, die hebben geleid tot de documenten die, wanneer geopend, geïnstalleerd PupyRAT, een open-source remote access Trojan die kan infiltreren Windows, Linux, mac os x en Android om de dreiging acteur volledige toegang tot het systeem van het slachtoffer.
Maar als er minder slachtoffers zijn gevallen voor de regeling dan verwacht, het hacken van de groep probeerde het opnieuw met een nep-social media-profiel dat was de interactie met een aantal van de doelen sinds het midden van vorig jaar.
De naam ‘Mia ‘ As’, het profiel beweerde te zijn, een jonge vrouw die werkzaam is in de fotografie in Londen en maakte een rapport met verschillende doelen via sociale media. Echter, de persona is volledig nep, en gebruikt de Instagram foto ‘ s van een jonge vrouw in Oost-Europa.
“Mia As was de follow-up activiteit een mislukte campagne, die is de reden waarom brachten zij de grote kanonnen en gebruikt de persona direct doel personen op LinkedIn,” Allison Wikoff, senior security researcher bij SecureWorks, vertelde ZDNet.
Het profiel is actief sinds April 2016 en heeft meer dan 500 connecties op hun LinkedIn-profiel en een nog groter aantal op Facebook. De LinkedIn-account heeft gestolen van een beschrijving van het werk van een legitieme fotograaf in de VS en in eerste instantie lijkt te zijn verbonden met de anderen in de fotografie, om te kijken authentiek.
De campagne begon met het toevoegen van doelstellingen, zoals de mensen die werken voor het Midden-Oosten of Afrika gevestigde bedrijven in de telecommunicatie, technologie en olie-en gassector. Honderden aanvragen aanvaard, met vele functies zoals IT-ondersteuning, technici en ingenieurs-mensen die hebben een hoger niveau van toegang dan de normale gebruikers.
“De meeste van deze mensen hadden functiebeschrijvingen dat zou betekenen dat ze misschien de bevoorrechte toegang van hun bedrijf,” zei Wikoff. ‘Het zou niet verrassend zijn, maar ze waren allemaal mannen-ze zijn met behulp van de 1.000 jaar oude truc,” voegde ze eraan toe.
Ransomware: Een executive gids naar één van de grootste bedreigingen op het web
Alles wat u moet weten over ransomware: hoe het begon, waarom het is booming, hoe om te beschermen tegen en wat te doen als uw PC is geïnfecteerd.
Natuurlijk, in dit geval, er is geen echt persoon, maar een groep van aanvallers bedienen van een profiel, maar één die regelmatig samenwerkt met slachtoffers die reageren ook terug.
“De Mia Ash Facebook profiel zeer actief was, was het publiceren regelmatig nieuwe foto’ s en er is een flink aantal opmerkingen van de doelstellingen die zijn commentaar op deze foto ‘ s. Ze hebben geen legde haar en nooit aandacht weer, er is heel veel houdt van dezelfde mensen,” Wikoff uitgelegd.
De aanval begint met berichten over LinkedIn, voordat hij over naar Facebook dan uiteindelijk e-mail. In een bijzonder exemplaar van de campagne onderzocht door onderzoekers, de e-mail uitwisseling eindigde met ‘Mia’ het versturen van het doel een e-mail naar een Microsoft Excel-document een Kopie van de Fotografie Enquête.xlsm’ en spoorde hen aan om het te openen op het werk in voor het ‘functioneert naar behoren’.
Dit onderzoek voortgezet macro ‘ s, die, wanneer ingeschakeld, worden gedownload van de PupyRAT Trojan op de gerichte systeem, waardoor de aanvallers toegang tot het netwerk.
“Ze hebben echt steken veel moeite in dit en in te gaan op de catfishing,” zei Wikoff. “Ze zetten de P in aanhoudende dreiging. De eerste aanval had geen werk, dus de dreiging acteur heeft een persona die ze hebben gehad gebouwd en klaar om te gaan om terug te gaan naar de organisaties die zij willen maken.”
De groep blijft in werking en is nog steeds een poging om te infiltreren in de netwerken van duizenden organisaties over de hele wereld, met name in het Midden-Oosten en Afrika. SecureWorks, zegt de operatie is door een van de meest productieve groepen hackers in de wereld, meer productief dan Mooie Beer of verschillende Chinese groepen.
Als voor de vrouw die met haar foto ‘ s gestolen voor dit cybercrimineel werking, SecureWorks in geslaagd om in contact te komen en ze was “geschokt” te zijn over wat er aan de hand was, maar de beelden gebruikt in dit stuk worden gebruikt met haar toestemming. LinkedIn heeft verwijderd van de nep-account.
Niet alleen is dit het geval aantonen wat de gevaren van zeer geavanceerde cyberaanvallen uit te voeren activiteiten en de risico ‘ s van een verbinding te onbekend met sociale media-accounts, hamers hoe moet u het vergrendelen van uw eigen social media accounts, want wie weet kan je in de gaten.
LEES MEER OVER CYBERCRIMINALITEIT
Vleiend om te misleiden: Waarom narcisten zijn een gemakkelijk doelwit voor hackersHow om een meester te worden cyber-sleuth [TechRepublic]Cybercrime Inc: Hoe hacking bendes zijn het modelleren van zelf op grote businessA hacker volgende doel is slechts een zoekopdracht op afstand [CNET]Hackers gebruik van deze nieuwe aanval methode om de target power bedrijven
0