Государственный центр киберзащиты Украины (SCPC) SSSCIP совместно с исследовательской группой Palo Alto Networks Unit 42 отслеживают масштабную фишинговую кампанию, связанную с распространением вредоносного ПО SmokeLoader.
Исследователи специально проанализировали 23 фишинговые кампании, охватывающие период с мая по ноябрь 2023 года. В ходе этих коротких, но масштабных и повторяющихся кампаний злоумышленники использовали целевые фишинговые электронные письма для нападения на финансовые отделы организаций в правительстве и администрации, оборонном, телекоммуникационном, розничном и финансовом секторах.
Они использовали ранее скомпрометированные адреса электронной почты, воспользовавшись доверием, связанным с корпоративными учетными записями. Все темы электронных писем были связаны с оплатой и выставлением счетов, а электронные письма включали законные финансовые документы, украденные в результате предыдущих нарушений.
Несмотря на попытки злоумышленников придать письмам вид аутентичных, текст в теме и теле письма часто содержал орфографические ошибки и смешанные украинские и русские слова. Чтобы обманом заставить пользователей открыть, казалось бы, безобидный документ, злоумышленники использовали двойные расширения файлов. Они также использовали законные утилиты Windows для обмана пользователей, поддержания устойчивости, сбора информации и горизонтального перемещения внутри сети.
Используя файлы-полиглоты, они смогли обойти традиционную защиту электронной почты, которая не могла интерпретировать такие файлы. Наконец, было замечено, что злоумышленники использовали старые версии SmokeLoader, в основном выпущенные в 2022 году.
«Учитывая периодичность анализируемых атак с использованием SmokeLoader за последние 7 месяцев, можно сделать вывод, что на данный момент маловероятно, что подобные фишинговые кампании будут организовываться с частотой менее, чем минимум два раза в месяц (на основе значения рассчитанного среднего числа (медианы) организованных кампаний в месяц)», — отмечают исследователи.
Полная версия отчёта представлена по ссылке.
Оригинал публикации на сайте CISOCLUB: "Palo Alto Networks: злоумышленники атакуют финансовые отделы компаний с помощью вредоносного ПО SmokeLoader".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
