0
Hackere er rettet mod energi-virksomheder, herunder dem, der arbejder i kernekraft og andre kritiske infrastruktur, der er udbydere med en teknik, der sætter en ny spin på en prøvet og testet i form af cyberangreb.
Phishing har længe været en vellykket metode til angreb med cyberkriminelle skabelsen af en legitim leder e-mail og sende det til den tilsigtede offer sammen med en ondsindet vedhæftet fil. Denne, når den er udført, vil køre kode for at slippe malware, det være sig til ransomware, tyveri af data, eller anden form for angreb.
Men nu angribere er i stand til at køre disse phishing kampagner uden behov for skadelig kode indlejret i en vedhæftet fil, i stedet for at downloade en skabelon-fil injektion over en SMB-forbindelse til at stille høst legitimationsoplysninger, siger forskere på Talos Intelligens.
Mens angrebet metode er i øjeblikket kun anvendes til at stjæle data, forskere advarer om, at det kunne være ansat til at droppe andre malware.
Det er den seneste i en række af angreb, som har udnyttet SMB-fejl – men i modsætning til Petya eller WannaCry, der er ingen kendt relation mellem denne og EternalBlue, lækket NSA windows udnytte, som er blevet brugt til at gennemføre globale ransomware angreb.
Cyberangreb mod kritisk infrastruktur, er ikke et nyt fænomen, men siden Maj 2017 hackere har været ved hjælp af denne nye teknik til at målrette energi-selskaber rundt om i verden, især i Europa og Usa, med det mål at stjæle prøvelse for dem, der arbejder i kritisk infrastruktur. Det er ukendt, hvem der står bag angrebene, eller hvor de er baseret på.
Ligesom andre phishing-kampagner, dette angreb bruger e-mails der er relevante for de mål, som et lokkemiddel, der i dette tilfælde ofte hævder at være miljørapporter eller et CV med et vedhæftet Word-dokument, som forsøg på at høste data, når den åbnes.
En phishing-meddelelse, der bruges af angriberne.
Billede: Talos
Forskere siger, at disse dokumenter oprindeligt indeholdt ingen angivelser af, kompromis eller skadelig makroer, der er forbundet med denne form for kampagne. Men se vedhæftede filer for at downloade en skabelon-fil fra en bestemt IP-adresse, som forskerne fandt i stedet for kode, der er indeholdt instruktioner for en skabelon injektion at oprette forbindelse til en ekstern server via SMB.
Men, samtidig med at angrebet er udført ved at udnytte SMB, phishing selv håndteres via HTTPS, og de brugerlegitimationsoplysninger, der er høstet via Grundlæggende Godkendelse med en prompt for at få legitimationsoplysningerne.
Talos har reageret på de angreb, der er ved at kontakte de berørte kunder og sikre, “at de var bevidste om og i stand til at reagere på truslen”.
Forskerne siger også, at denne trussel “illustrerer vigtigheden af at kontrollere din netværkstrafik og ikke tillader udgående protokoller såsom SMB, bortset fra hvor det specifikt er nødvendigt for dit miljø”.
Men Talos siger, at det er i stand til at dele alle indikatorer på kompromis, eller som specielt har været rettet på grund af den “den natur, som vi har opnået intelligens, der er relateret til disse angreb”.
LÆS MERE OM IT-KRIMINALITET
Russiske hackere mål kritisk infrastruktur, demokrati, advarer UKHackers rettet mod OS atomkraftværker [CNET]Lækket NSA hacking, exploit, der anvendes i WannaCry ransomware er nu kraftoverførsel Trojan malwareHow hackere angrebet Ukraines power grid: Konsekvenser for Industrielle IoT securityMassive cyberattack på OS kritisk infrastruktur vil ramme inden for 2 år, siger 60% af sikkerhedsmæssige fordele [TechRepublic]
0