Целенаправленная фишинговая кампания против топ-менеджеров финансового сектора обнаружена системами Trellix
15 мая системы безопасности электронной почты Trellix зафиксировали новую многоэтапную фишинговую атаку, направленную на финансовых директоров и топ-менеджеров из различных отраслей. Объектами атаки стали представители банковского, энергетического, страхового и инвестиционного секторов в Европе, Африке, Канаде, на Ближнем Востоке и в Южной Азии. Особенностью кампании стало использование легитимного ПО для удаленного доступа NetBird, основанного на Wireguard, что свидетельствует о новой тенденции в методах проникновения хакеров.
Суть атаки и использованные инструменты
Атака начиналась с рассылки электронных писем от имени рекрутера компании Rothschild & Co с предложением о «стратегической возможности». Получателям предлагалось открыть прикрепленную «брошюру», которая на самом деле представляла собой страницу, размещённую на платформе Firebase и защищённую капчей с математическим тестом.
- Преодоление капчи открывало доступ к загрузке ZIP-файла Rothschild_&_Co-6745763.zip.
- Внутри архива содержался скрипт VBS, запускавший второй скрипт, который осуществлял:автоматическую установку приложений NetBird и OpenSSH;
создание скрытой локальной учётной записи администратора;
включение протокола удаленного рабочего стола (RDP). - Таким образом злоумышленники получали зашифрованный бэкдор для постоянного удалённого доступа к системам жертв.
Механизмы обмана и обхода защиты
Фишинговое письмо, заголовок которого звучал как «Возможность лидерства Rothschild & Co (конфиденциально)», содержало ссылку, замаскированную под подлинный PDF-файл. Однако истинный URL, размещённый на Firebase, имел запутанную структуру и требовал выполнения JavaScript-функции для расшифровки и перехода по ссылке.
Особую угрозу представляет использование злоумышленниками индивидуальных механизмов ввода капчи. Такие методы позволяют обходить распространённые сервисы защиты, такие как Cloudflare Turnstile и Google reCAPTCHA, благодаря чему фишинговые страницы остаются активными дольше и труднее поддаются блокировке.
Результаты расследования и обнаруженные закономерности
Анализ кампании выявил ряд схожих фишинговых страниц с аналогичной капчей и идентичной полезной нагрузкой VBS. Это свидетельствует о наличии у атакующих набора повторно используемых инструментов, которые они маскируют под разные бренды и личины.
Также исследователи обнаружили параллели с ранее опубликованными материалами французского управления финансовых рынков (AMF). Несмотря на различия в приманках, лежащие в основе тактики и методы злоумышленников сохраняют высокую степень последовательности и взаимосвязи между случаями.
Выводы и рекомендации
- Рост применения легитимных инструментов удалённого доступа, таких как NetBird, хакерами требует усиленного контроля и мониторинга подобных сервисов внутри корпоративной сети.
- Использование сложных и индивидуальных капч свидетельствует о высокой квалификации злоумышленников и необходимости обновления средств защиты от фишинга.
- Компании из финансового сектора особенно подвержены риск-фактору и должны уделять повышенное внимание обучению сотрудников и внедрению многоуровневых систем обнаружения угроз.
Данный инцидент подтверждает, что современные фишинговые кампании становятся всё более изощрёнными и требуют комплексного подхода к обеспечению кибербезопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Фишинговая атака с NetBird: новая угроза топ-менеджерам".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.