Bilgisayar korsanları bu yeni saldırı yöntemini enerji şirketlerini hedef almak için kullanıyor

Bilgisayar korsanları, nükleer enerji ve diğer kritik alanlarda çalışanlar da dahil olmak üzere enerji şirketlerini hedef alıyor altyapı sağlayıcıları, denenmiş ve test edilmiş bir biçime yeni bir yön veren bir teknikle siber saldırı.

Kimlik avı uzun zamandır başarılı bir saldırı yöntemi olmuşturSiber suçlular meşru görünen bir e-posta hazırlayıp bunu hedeflenen kurbana kötü amaçlı bir eklentiyle birlikte gönderiyor. Çalıştırıldığında, fidye yazılımı, veri çalma veya başka bir saldırı biçimi için kullanılabilecek kötü amaçlı yazılımları bırakmak için kod çalıştırır.

Ancak artık saldırganlar, kimlik avı kampanyalarını bir eke yerleştirilmiş kötü amaçlı kod olmadan çalıştırabiliyor. kimlik bilgilerini sessizce toplamak için bir SMB bağlantısı üzerinden bir şablon dosyası enjeksiyonu indirilmesi araştırmacılar Talos Intelligence'de çalışıyor.

Saldırı yöntemi şu anda yalnızca veri çalmak için kullanılsa da araştırmacılar, bunun diğer kötü amaçlı yazılımları engellemek için de kullanılabileceği konusunda uyarıyor.

Bu, KOBİ kusurlarından yararlanan bir dizi saldırının sonuncusu. Petya veya Ağlamak istiyor, bununla EternalBlue arasında bilinen bir ilişki yok, sızdırılan NSA pencerelerinden yararlanma küresel fidye yazılımı saldırılarını gerçekleştirmek için kullanıldı.

Siber saldırılar Kritik altyapıya karşı mücadele yeni bir olgu değilMayıs 2017'den bu yana bilgisayar korsanları bu yeni tekniği dünya çapındaki enerji şirketlerini hedef almak için kullanıyor. Kritik sektörlerde çalışanların kimlik bilgilerini çalmak amacıyla ağırlıklı olarak Avrupa ve ABD'de altyapı. Saldırıların arkasında kimin olduğu ve nereye dayandığı henüz bilinmiyor.

Diğer kimlik avı kampanyaları gibi bu saldırı da yem olarak hedeflerle ilgili e-postaları kullanıyor. Bu durumda, e-postaların genellikle çevresel raporlar veya CV olduğu iddia ediliyor ve açıldığında veri toplamaya çalışan bir Word belgesi ekinde geliyor.

Araştırmacılar, bu belgelerin başlangıçta bu tür bir kampanyayla ilişkili herhangi bir risk veya kötü amaçlı makro belirtisi içermediğini söylüyor. Ancak ekler bunun yerine araştırmacıların bulduğu belirli bir IP adresinden bir şablon dosyası indirmeye çalışıyor. Kod yerine, harici bir sunucuya bağlantı kuran şablon enjeksiyonu için talimatlar içeriyordu. KOBİ.

Ancak saldırı SMB'den yararlanılarak gerçekleştirilirken kimlik avının kendisi HTTPS üzerinden gerçekleştirilir ve kullanıcı kimlik bilgileri, kimlik bilgilerinin istenmesiyle Temel Kimlik Doğrulama aracılığıyla toplanır.

Talos, saldırılardan etkilenen müşterilerle iletişime geçerek ve "tehdidin farkında olduklarından ve buna yanıt verebilecek kapasitede olduklarından" emin olarak saldırılara yanıt verdi.

Araştırmacılar ayrıca bu tehdidin "ağ trafiğinizi kontrol etmenin önemini gösterdiğini" söylüyor ve sizin için özel olarak gerekli olduğu durumlar dışında, SMB gibi giden protokollere izin vermemek çevre".

Ancak Talos, "bu saldırılarla ilgili istihbarat elde ettiğimiz doğası gereği" tüm uzlaşma göstergelerini veya özellikle kimin hedef alındığını paylaşamayacağını söylüyor.

SİBER SUÇ HAKKINDA DAHA FAZLA OKUYUN

• İngiltere, Rus bilgisayar korsanlarının kritik altyapıyı ve demokrasiyi hedef aldığı konusunda uyardı
• Bilgisayar korsanları ABD nükleer santrallerini hedef alıyor [CNET]
• WannaCry fidye yazılımında kullanılan sızdırılmış NSA hackleme istismarı artık Trojan kötü amaçlı yazılımını da güçlendiriyor
• Bilgisayar korsanları Ukrayna'nın elektrik şebekesine nasıl saldırdı: Endüstriyel IoT güvenliğine etkileri
• Güvenlik uzmanlarının %60'ı, ABD'nin kritik altyapısına yönelik büyük bir siber saldırının 2 yıl içinde gerçekleşeceğini söylüyor [TechRepublic]