В июле и августе 2019 года фишинговая операция, начатая COBALT DICKENS, охватила более 60 университетов в Австралии, США, Великобритании, Канаде, Гонконге и Швейцарии.
В рамках этой атаки актер отправил фишинговые электронные письма на тему библиотеки, содержащие ссылки на поддельные страницы входа в систему для ресурсов, связанных с целевыми университетами. В отличие от предыдущих кампаний, сообщения в новых атаках использовали поддельные URL-адреса вместо сокращенных ссылок.
Как только получатель щелкнул ссылку, его перенаправили на веб-страницу, похожую на поддельный библиотечный ресурс. После того, как жертвы вводят свои учетные данные, они перенаправляются в файл next.php, а затем на поддельный веб-сайт, который подделывается, а учетные данные хранятся локально в файле pass.txt.
Хакеры зарегистрировали как минимум 20 новых доменов для кампании и использовали для этого провайдера домена Freenom.
Домены используют действующие сертификаты SSL, что может сделать поддельные страницы подлинными. Большинство сертификатов были выпущены Let's Encrypt, но предыдущие кампании использовали сертификаты, выданные Comodo.
Чтобы подделать страницы входа, COBALT DICKENS использует общедоступные инструменты, которые позволяют им копировать целые страницы целевых университетских ресурсов. Исследователи безопасности Secureworks обнаружили, что злоумышленники иногда используют старые скопированные версии целевых веб-сайтов.
Метаданные на других поддельных веб-страницах указывают на то, что субъекты угрозы имеют иранское происхождение (временная метка, связанная с Ираном, была обнаружена на странице, скопированной 3 августа).
На сегодняшний день актер угрозы был замечен по меньшей мере в 380 университетах более чем в 30 странах, причем многие из них поражены несколько раз. Несмотря на публичное раскрытие, попытки уничтожения и действия правоохранительных органов, актер не изменил операции.
«Некоторые образовательные учреждения внедрили многофакторную аутентификацию (MFA), чтобы конкретно противостоять этой угрозе. Хотя реализация дополнительных мер безопасности, таких как MFA, может показаться обременительной в средах, где важны гибкость и инновации пользователей, учетные записи с одним паролем небезопасны », - отмечает Secureworks.
Исследователи безопасности также опубликовали список известных доменов, связанных с операциями COBALT DICKENS.