Фишинг имейлите, използвани за кражба на идентификационни данни от критични инфраструктурни фирми, могат тихо да събират данни, без дори да използват макроси, предупреждават изследователи.
Хакерите са насочени към енергийни компании, включително работещи в ядрената енергетика и други критични доставчици на инфраструктури, с техника, която поставя ново завъртане на изпитана форма на кибер атака.
Сигурност
- 8 навика на много сигурни дистанционни работници
- Как да намерите и премахнете шпионски софтуер от телефона си
- Най-добрите VPN услуги: Как се сравняват топ 5?
- Как да разберете дали сте замесени в нарушение на сигурността на данните -- и какво да направите след това
Фишингът отдавна е успешен метод за атака, като киберпрестъпниците създават легитимно изглеждащ имейл и го изпращат до желаната жертва заедно със злонамерен прикачен файл. Веднъж изпълнен, той изпълнява код за премахване на зловреден софтуер, който може да се използва за рансъмуер, кражба на данни или друга форма на атака.
Но вместо това нападателите могат да провеждат фишинг кампании без злонамерен код, вграден в прикачен файл изтегляне на инжектиране на шаблонен файл през SMB връзка за безшумно събиране на идентификационни данни, според изследователи в Talos Intelligence.
Докато методът на атака в момента се използва само за кражба на данни, изследователите предупреждават, че може да се използва за премахване на друг зловреден софтуер.
Това е най-новата в поредица от атаки, които са използвали SMB недостатъци - въпреки че, за разлика от Петя или WannaCry, няма известна връзка между това и EternalBlue, експлойтът на прозорците на NSA, изтекъл който е бил използван за извършване на глобални рансъмуер атаки.
Кибератаки срещу критична инфраструктура не са ново явление, а от май 2017 г. хакерите използват тази нова техника, за да атакуват енергийни компании по целия свят, предимно в Европа и САЩ, с цел кражба на пълномощията на тези, които работят в критични инфраструктура. Все още не е известно кой стои зад атаките или къде са базирани.
Подобно на други фишинг кампании, тази атака използва имейли, подходящи за целите, като примамка. В този случай имейлите често твърдят, че са доклади за околната среда или автобиография и идват с прикачен документ на Word, който се опитва да събере данни при отваряне.
Фишинг съобщение, използвано от нападателите.
Изследователите казват, че тези документи първоначално не съдържат индикации за компрометиране или злонамерени макроси, свързани с този вид кампания. Въпреки това, прикачените файлове вместо това търсят да изтеглят шаблонен файл от определен IP адрес, който изследователите са открили, вместо код, съдържа инструкции за инжектиране на шаблон, установяващ връзката към външен сървър SMB.
Въпреки това, докато атаката се извършва чрез използване на SMB, самият фишинг се обработва през HTTPS, а потребителските идентификационни данни се събират чрез основно удостоверяване с подкана за идентификационните данни.
Talos отговори на атаките, като се свърза със засегнатите клиенти и се увери, че „те са знаели и са способни да отговорят на заплахата“.
Изследователите също така казват, че тази заплаха „илюстрира важността на контролирането на вашия мрежов трафик и не позволява изходящи протоколи като SMB, освен когато това е изрично необходимо за вашия заобикаляща среда".
Въпреки това Talos казва, че не е в състояние да сподели всички индикатори за компрометиране или кой конкретно е бил набелязан поради „естеството, в което сме получили разузнавателна информация, свързана с тези атаки“.
ПРОЧЕТЕТЕ ПОВЕЧЕ ЗА КИБЕРПРЕСТЪПЛЕНИЯТА
- Руски хакери се насочват към критична инфраструктура и демокрация, предупреждава Великобритания
- Хакери, атакуващи ядрени електроцентрали в САЩ [CNET]
- Изтекъл хакерски експлойт на NSA, използван в рансъмуера на WannaCry, сега захранва троянския злонамерен софтуер
- Как хакери атакуваха енергийната мрежа на Украйна: Последици за сигурността на индустриалния интернет на нещата
- Масова кибератака срещу критична инфраструктура на САЩ ще бъде извършена в рамките на 2 години, казват 60% от специалистите по сигурността [TechRepublic]