0
Hackare riktar energi företag, inklusive de som arbetar inom kärnkraft och annan kritisk infrastruktur leverantörer med en teknik som sätter en ny spin på en beprövad form av cyberattack.
Nätfiske har länge varit en framgångsrik metod för att attackera, med cyberbrottslingar att utforma en legitim ser e-postadress och skicka det till det tilltänkta offret tillsammans med en skadlig bifogad fil. Detta, när det utförs, kommer att köra koden för att släppa malware, var det för ransomware, att stjäla data, eller annan form av attack.
Men nu angripare som kan köra dessa phishing-kampanjer utan behov av skadlig kod som är inbäddad i en fil istället ladda ner en mall fil injektion över en SMB-anslutning till tyst skörd referenser, säger forskare på Talos Intelligens.
Medan attacken metoden är för närvarande endast används för att stjäla data, forskare varnar för att det kan användas för att släppa annan skadlig kod.
Det är den senaste i en rad av attacker som har utnyttjat SMB-brister – men till skillnad från Petya eller WannaCry, det finns inga kända samband mellan detta och EternalBlue läckt NSA windows utnyttja som har använts för att utföra globala ransomware attacker.
It-angrepp mot kritisk infrastruktur är inte ett nytt fenomen, men sedan Maj 2017 hackare har varit att använda denna nya teknik för att rikta energi företag runt om i världen, främst i Europa och Usa, med målet att stjäla inloggningsuppgifter för dem som arbetar i kritisk infrastruktur. Det är okänt vem som ligger bakom attackerna eller där de är baserade.
Som andra phishing-kampanjer, denna attack använder e-post som är relevanta för de mål som lockbete, i detta fall ofta anspråk på att vara miljörelaterade rapporter eller ett CV med ett bifogat Word-dokument som är ett försök att skörda data när den öppnas.
En phishing-meddelande som används av angripare.
Bild: Talos
Forskare säger att dessa dokument inledningsvis innehöll inga indikationer på att kompromissa eller skadliga makron som är förknippade med denna typ av kampanj. Dock bilagor se att ladda ner en mall fil från en viss IP-adress, som forskarna fann i stället för kod, som finns instruktioner för en mall injektion upprätta anslutningen till en extern server via SMB.
Men medan attacken utförs genom att utnyttja SMB, phishing sig hanteras över HTTPS, och användarreferenser skördas via Grundläggande Autentisering är en fråga för autentiseringsuppgifter.
Talos har svarat på de attacker genom att kontakta berörda kunder och se “de var medvetna om och som kan svara på de hot”.
Forskarna säger också detta hot “illustrerar vikten av att kontrollera din nätverkstrafik och inte tillåter utgående protokoll såsom SMB förutom där det specifikt krävs för din miljö”.
Men Talos säger att den inte kan dela alla indikatorer för kompromiss eller som har särskilt varit riktad på grund av att “den natur som vi fått underrättelser som rör dessa attacker”.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Ryska hackare mål kritisk infrastruktur och demokrati, varnar UKHackers riktar OSS kärnkraftverk [MAG]Läckt NSA hacka utnyttja används i WannaCry ransomware är nu att driva Trojan malwareHow hackare attackerade Ukrainas elnätet: Konsekvenser för Industriell IoT securityMassive cyberattack på OSS kritisk infrastruktur kommer hit inom 2 år, säg 60% av säkerhet proffsen [TechRepublic]
0