0
Gli hacker stanno prendendo di mira le aziende di energia, compresi quelli che lavorano in energia nucleare e di altre infrastrutture critiche fornitori con una tecnica che mette una nuova rotazione su un provato e testato forma di attacco informatico.
Il Phishing è stato a lungo un metodo di successo di un attacco, i criminali informatici creazione di una legittima ricerca e-mail e l’invio alla vittima designata con un allegato pericoloso. Questo, quando eseguito, verrà eseguito il codice per l’eliminazione di malware, ransomware, il furto di dati, o altra forma di attacco.
Ma ora gli aggressori sono in grado di eseguire queste campagne di phishing, senza la necessità di codice dannoso, incorporato in un allegato, invece, il download di un file di modello di iniezione tramite una connessione SMB in silenzio raccolto le credenziali, dicono i ricercatori a Talos Intelligenza.
Mentre il metodo di attacco è attualmente utilizzato solo per rubare i dati, i ricercatori avvertono che potrebbe essere utilizzato per rilasciare altro malware.
E ‘ l’ultimo di una serie di attacchi che hanno sfruttato SMB difetti – anche se a differenza di Petya o WannaCry, e non c’è relazione tra questo e EternalBlue, perdita di NSA windows exploit che è stato utilizzato per svolgere globale di attacchi ransomware.
Gli attacchi informatici contro le infrastrutture critiche non sono un fenomeno nuovo, ma a partire dal Maggio 2017 gli hacker sono state l’utilizzo di questa nuova tecnica per indirizzare le aziende di energia in tutto il mondo, prevalentemente in Europa e Stati Uniti, con l’obiettivo di rubare le credenziali di chi lavora in infrastrutture critiche. Non si sa chi c’è dietro gli attacchi o in cui essi si fondano.
Come altre campagne di phishing questo attacco utilizza le e-mail rilevanti per gli obiettivi come esca, in questo caso spesso la pretesa di essere i rapporti ambientali o un CURRICULUM con allegato un documento di Word che tenta di raccolta dei dati, quando vengono aperti.
Un messaggio di phishing utilizzato dagli aggressori.
Immagine: Talos
I ricercatori dicono che questi documenti inizialmente conteneva indicazioni di compromesso o di dannoso macro associati con questo tipo di campagna. Gli allegati, tuttavia, cercare di scaricare un file di modello da un particolare indirizzo IP, che i ricercatori hanno trovato, invece, del codice, contenute le istruzioni per un modello a iniezione, per stabilire la connessione a un server esterno tramite SMB.
Tuttavia, mentre l’attacco viene eseguito sfruttando SMB, il phishing stessa viene gestita tramite HTTPS, e le credenziali dell’utente sono raccolti tramite l’Autenticazione di Base con un prompt per le credenziali.
Talos ha risposto agli attacchi contattando i clienti interessati e garantendo “erano consapevoli e in grado di rispondere alla minaccia”.
I ricercatori hanno anche dire che questa minaccia “illustra l’importanza di controllare il traffico di rete, e non permette in uscita, come i protocolli SMB salvo dove espressamente richiesto per l’ambiente”.
Tuttavia, Lui dice che non è in grado di condividere tutti gli indicatori di compromesso o che in particolare è stata presa di mira a causa della “natura in cui abbiamo ottenuto intelligence relative a questi attacchi”.
PER SAPERNE DI PIÙ SULLA CRIMINALITÀ INFORMATICA
Hacker russi di destinazione delle infrastrutture critiche e la democrazia, avverte UKHackers targeting nucleare americano [CNET]Trapelato NSA hacking exploit utilizzato in WannaCry ransomware è ora di accendere Trojan malwareHow gli hacker hanno attaccato l’Ucraina rete elettrica: Implicazioni per uso Industriale IoT securityMassive attacco su di NOI infrastrutture critiche ha colpito nel raggio di 2 anni, diciamo il 60% di sicurezza pro [TechRepublic]
0