Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Palo Alto Networks: злоумышленники атакуют финансовые отделы компаний с помощью вредоносного ПО SmokeLoader

2 мин
Государственный центр киберзащиты Украины (SCPC) SSSCIP совместно с исследовательской группой Palo Alto Networks Unit 42 отслеживают масштабную фишинговую кампанию, связанную с распространением вредоносного ПО SmokeLoader. Исследователи специально проанализировали 23 фишинговые кампании, охватывающие период с мая по ноябрь 2023 года. В ходе этих коротких, но масштабных и повторяющихся кампаний злоумышленники использовали целевые фишинговые электронные письма для нападения на финансовые отделы организаций в правительстве и администрации, оборонном, телекоммуникационном, розничном и финансовом секторах. Они использовали ранее скомпрометированные адреса электронной почты, воспользовавшись доверием, связанным с корпоративными учетными записями. Все темы электронных писем были связаны с оплатой и выставлением счетов, а электронные письма включали законные финансовые документы, украденные в результате предыдущих нарушений. Несмотря на попытки злоумышленников придать письмам вид аутентичных,
Изображение: palo-alto-networks
Изображение: palo-alto-networks

Государственный центр киберзащиты Украины (SCPC) SSSCIP совместно с исследовательской группой Palo Alto Networks Unit 42 отслеживают масштабную фишинговую кампанию, связанную с распространением вредоносного ПО SmokeLoader.

Исследователи специально проанализировали 23 фишинговые кампании, охватывающие период с мая по ноябрь 2023 года. В ходе этих коротких, но масштабных и повторяющихся кампаний злоумышленники использовали целевые фишинговые электронные письма для нападения на финансовые отделы организаций в правительстве и администрации, оборонном, телекоммуникационном, розничном и финансовом секторах.

Они использовали ранее скомпрометированные адреса электронной почты, воспользовавшись доверием, связанным с корпоративными учетными записями. Все темы электронных писем были связаны с оплатой и выставлением счетов, а электронные письма включали законные финансовые документы, украденные в результате предыдущих нарушений.

Несмотря на попытки злоумышленников придать письмам вид аутентичных, текст в теме и теле письма часто содержал орфографические ошибки и смешанные украинские и русские слова. Чтобы обманом заставить пользователей открыть, казалось бы, безобидный документ, злоумышленники использовали двойные расширения файлов. Они также использовали законные утилиты Windows для обмана пользователей, поддержания устойчивости, сбора информации и горизонтального перемещения внутри сети.

Используя файлы-полиглоты, они смогли обойти традиционную защиту электронной почты, которая не могла интерпретировать такие файлы. Наконец, было замечено, что злоумышленники использовали старые версии SmokeLoader, в основном выпущенные в 2022 году.

«Учитывая периодичность анализируемых атак с использованием SmokeLoader за последние 7 месяцев, можно сделать вывод, что на данный момент маловероятно, что подобные фишинговые кампании будут организовываться с частотой менее, чем минимум два раза в месяц (на основе значения рассчитанного среднего числа (медианы) организованных кампаний в месяц)», — отмечают исследователи.

Полная версия отчёта представлена по ссылке.

Оригинал публикации на сайте CISOCLUB: "Palo Alto Networks: злоумышленники атакуют финансовые отделы компаний с помощью вредоносного ПО SmokeLoader".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются