0
Hackers zijn gericht op de energie-bedrijven, waaronder degenen die werkzaam zijn in kernenergie en andere kritieke infrastructuur aanbieders met een techniek die zet een nieuwe draai aan een beproefde vorm van een cyberaanval.
Phishing is al lang een succesvolle methode van de aanval, met cybercriminelen het vervaardigen van een legitiem uitziende e-mail te sturen naar de beoogde slachtoffer samen met een kwaadaardige bijlage. Dit, wanneer het uitgevoerd wordt, zal de code voor het droppen van malware, al is het maar voor ransomware, het stelen van gegevens of andere vorm van aanval.
Maar nu aanvallers zijn in staat van het runnen van deze phishing campagnes zonder de noodzaak voor kwaadaardige code die is ingesloten in een bijlage, in plaats van het downloaden van een template bestand injectie via een SMB-verbinding om stil te oogsten referenties, zeggen onderzoekers van Talos Intelligence.
Terwijl de aanval methode wordt momenteel alleen gebruikt om gegevens te stelen, onderzoekers waarschuwen dat het kon worden gebruikt om drop andere malware.
Het is de laatste in een reeks van aanslagen die uitgebuit SMB-gebreken – hoewel in tegenstelling tot Petya of WannaCry, er is geen bekende relatie tussen deze en EternalBlue, de uitgelekte NSA windows exploit die is gebruikt voor het uitvoeren van globale ransomware aanvallen.
De cyberaanvallen tegen de kritieke infrastructuur zijn geen nieuw fenomeen, maar sinds Mei 2017 hackers hebben met behulp van deze nieuwe techniek om de doelstelling energie-bedrijven over de hele wereld, voornamelijk in Europa en de Verenigde Staten, met het doel van het stelen van referenties van mensen die werkzaam zijn in de kritieke infrastructuur. Het is onbekend wie er achter de aanvallen of waarin ze zijn gebaseerd.
Net als andere phishing campagnes, deze aanval maakt gebruik van de e-mails die relevant zijn voor de doelen als lokmiddel, in dit geval vaak beweren te zijn milieu-rapporten of een CV met een gekoppeld Word-document waarin wordt geprobeerd om gegevens te vergaren wanneer het wordt geopend.
Een phishing-bericht gebruikt door de aanvallers.
Afbeelding: Talos
Onderzoekers zeggen dat deze documenten in eerste instantie bevatte geen indicaties van het compromis of de schadelijke macro ‘ s in verband met dit soort van campagne. Echter, de bijlagen kijk voor het downloaden van een template bestand vanaf een bepaald IP-adres, die de onderzoekers vonden in plaats van een code, opgenomen instructies voor een sjabloon injectie, de verbinding naar een externe server via SMB.
Echter, terwijl de aanval is uitgevoerd door gebruik te maken van SMB, de phishing zelf wordt afgehandeld via HTTPS, en de referenties van de gebruiker worden geoogst via Basic-Verificatie met een aanwijzing voor de referenties.
Talos heeft gereageerd op de aanslagen door contact met de getroffen klanten en het waarborgen van “ze waren zich bewust van, en in staat te reageren op de dreiging”.
De onderzoekers zeggen ook dat deze bedreiging “illustreert het belang van het controleren van uw netwerk verkeer en het niet toestaan van uitgaande protocollen zoals SMB behalve waar dit specifiek nodig is voor de omgeving”.
Echter, Talos zegt dat het niet in staat is om alle indicatoren van het compromis of die specifiek is gericht vanwege “de natuur die we verkregen intelligence in verband met deze aanslagen”.
LEES MEER OVER CYBERCRIMINALITEIT
Russische hackers doel van kritieke infrastructuur en de democratie, waarschuwt UKHackers targeting ONS kerncentrales [CNET]Gelekt NSA hacken exploit gebruikt in WannaCry ransomware is nu het voeden van Trojan malwareHow hackers aangevallen Oekraïne elektriciteitsnet: Implicaties voor Industriële IoT securityMassive cyberaanval op ONS kritische infrastructuur zal raken binnen 2 jaar, zeggen 60% van de veiligheid voors [TechRepublic]
0