0
Et screenshot af den falske Facebook-side, der bruges til at lokke ofre for hacking kampagne.
Billede: SecureWorks
Er du sikker på du vide, hvem at LinkedIn kontakt virkelig er? De er måske ikke, hvem de virkelig påstå, men i stedet en hacker ønsker at skrabe din profil — eller værre, manipulere dine handlinger.
Cyberespionage aktivitet tilsyneladende er blevet gennemført på vegne af det Iranske regering er rettet mod organisationer i den finansielle -, olie -, teknologi, og sektorer, med avanceret social engineering baseret omkring en enkelt, frodig social media persona, som er helt falske. Dens mål? For at installere Trojan, malware på netværk af mål organisationer.
Drift, er omfattet af cybersecurity forskere på SecureWorks, er arbejdet i en gruppe, der tilsyneladende er forbundet med den Iranske regering, som bruger spyd-phishing til at gå på kompromis mål.
I begyndelsen af dette år, vil forskerne så en phishing-kampagne rettet mod enkeltpersoner i organisationer overvejende i Mellemøsten og Nordafrika, med nogle mål i USA. E-mails ” generelle emner job, tilbud og forespørgsler for at nulstille adgangskoder.
Disse lokker, der er indeholdt kortsluttet Webadresser, der førte til, at dokumenter, der, når den åbnes, monteres PupyRAT, en open-source-fjernadgang Trojan, som kan trænge Windows, Linux, OSX og Android til at give den trussel, skuespiller fuld adgang til ofrets system.
Men når færre mål faldt for ordningen end forventet, hacking gruppen prøvede igen med en falsk social media profil, der havde været sammen med nogle af de mål, der siden midten af sidste år.
Navnet ‘Mia Ash’, den profil, som foregav at være en ung kvinde, der arbejder i fotografering i London og slog op en rapport med forskellige mål over de sociale medier. Men skikkelsen var fuldstændig falske, og har brugt Instagram billeder af en ung kvinde i det Østlige Europa.
“Mia Aske var opfølgende aktivitet til en mislykket kampagne, hvilket er grunden til, at de bragte ud af de store kanoner, og som anvendes til persona til direkte rettet mod personer på LinkedIn,” Allison Wikoff, senior security researcher på SecureWorks, fortalte ZDNet.
Den profil har været aktiv siden April 2016 og har over 500 forbindelser på deres LinkedIn-profil og et endnu større antal på Facebook. LinkedIn-konto, har stjålet en job beskrivelse fra en legitim fotograf i USA og i første omgang ser ud til at have forbindelse med andre i fotografering for at se autentisk.
Kampagnen begyndte derefter at tilføje mål, som mennesker, der arbejder for mellemøstlige eller Afrikanske baserede virksomheder inden for telekommunikation, teknologi, og olie-og gassektoren. Hundredvis accepteret anmodningen, med mange roller, såsom IT-support, teknikere og ingeniører-folk, der ville have højere niveau end normale brugere.
“De fleste af disse folk havde jobbeskrivelser, der tyder på, at de måske har privilegeret adgang til deres selskab,” sagde Wikoff. “Det burde ikke være overraskende, men de var alle mænd-de bruger den 1.000 år gamle trick,” tilføjede hun.
Ransomware: executive-guide til en af de største trusler på nettet
Alt, hvad du behøver at vide om ransomware: sådan begyndte det, hvorfor det er boomer, hvordan man beskytter sig mod det, og hvad man skal gøre, hvis din PC er inficeret.
Selvfølgelig, i dette tilfælde, er der ingen reel person, bare en gruppe af angribere, der driver en profil, men en, som jævnligt interagerer med ofre, som også reagere tilbage.
“Mia Aske Facebook-profil var meget aktiv, var det at udgive nye fotos regelmæssigt, og der er en hel del kommentarer fra mål, som er at kommentere på disse fotos. De har ikke friended hende og aldrig har betalt opmærksomhed igen, der er masser af folk fra de samme mennesker,” Wikoff forklaret.
Angrebet begynder med beskeder via LinkedIn, inden du flytter over til Facebook, for så til sidst e-mail. I en bestemt instans af den kampagne, der er undersøgt af forskere, e-mail-udveksling endte med ‘Mia’ afsendelse af målet en e-mail et Microsoft Excel-dokument ” Kopi af Fotografering Undersøgelse.xlsm’ og opfordrede dem til at åbne den på arbejde i for det til at ‘fungere korrekt’.
Denne undersøgelse fortsat makroer, der, når aktiveret, hentes PupyRAT Trojan ind i målrettet system, der giver hackere adgang til netværket.
“De har virkelig lagt en stor indsats i dette og gå ind i den catfishing,” sagde Wikoff. “De sætter P i vedvarende trussel. Det første angreb virkede ikke, så den trussel, skuespiller har en persona, de har haft bygget og klar til at gå til at gå tilbage til de organisationer, de ønsker at komme ind.”
Gruppen er fortsat i drift, og er stadig forsøger at infiltrere netværk af tusinder af organisationer over hele verden, især i Mellemøsten og Afrika. SecureWorks siger, at operationen er en af de mest produktive grupper af hackere i verden, er mere produktive end Lyst til at Bære eller forskellige Kinesiske grupper.
Som for den kvinde, der havde hendes fotos stjålet for denne cyberkriminelle drift, SecureWorks lykkedes at komme i kontakt, og at hun var “chokeret” på, hvad der foregik-men de billeder, der bruges i dette stykke, anvendes med hendes tilladelse. LinkedIn har fjernet den falske konto.
Ikke alene betyder dette tilfælde demonstrere farerne ved højt sofistikerede cyberangreb aktiviteter og de risici, der er i tilslutning til ukendte konti på de sociale medier, er det hamre hjem, hvor du bør låse dine egne konti på de sociale medier, fordi, der ved, hvem der kan se dig.
LÆS MERE OM IT-KRIMINALITET
Smigrende at bedrage: Hvorfor narcissister er et let mål for hackersHow til at blive en mester cyber-sleuth [TechRepublic]Cyberkriminalitet Inc: Hvordan hacking bander er modellering selv på store businessA hacker ‘ s næste mål er bare en Web-søgning væk [CNET]Hackere ved hjælp af denne nye angreb metode til at målrette el-selskaber
0