Ερευνητές κυβερνοασφάλειας εντόπισαν μια καμπάνια social engineering, που βομβαρδίζει τις επιχειρήσεις-στόχους με spam emails. Στόχος των επιτιθέμενων είναι να αποκτήσουν πρόσβαση στο περιβάλλον των επιχειρήσεων για περαιτέρω επιθέσεις.

Σύμφωνα με τους ερευνητές της Rapid7, οι επιτιθέμενοι κατακλύζουν τα θύματα με emails και στη συνέχεια προσφέρουν μια υποτιθέμενη βοήθεια.

“Ο παράγοντας απειλής παρακινεί τους επηρεαζόμενους χρήστες να κατεβάσουν λογισμικό απομακρυσμένης παρακολούθησης και διαχείρισης όπως το AnyDesk ή να χρησιμοποιήσουν την ενσωματωμένη λειτουργία Quick Assist της Microsoft για να δημιουργήσουν μια απομακρυσμένη σύνδεση“, λένε οι ερευνητές.

Η νέα εκστρατεία βρίσκεται σε εξέλιξη από τα τέλη Απριλίου 2024, με τα emails να είναι κυρίως μηνύματα επιβεβαίωσης εγγραφής σε ενημερωτικά δελτία από νόμιμους οργανισμούς.

Τα spam emails είναι ανεπιθύμητα και συχνά κακόβουλα μηνύματα που αποστέλλονται σε μεγάλες ποσότητες σε μια ομάδα παραληπτών. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου μπορεί να είναι ενοχλητικά και δυνητικά επιβλαβή, καθώς μπορεί να περιέχουν ιούς, να προωθούν απάτες ή να στέλνονται στα πλαίσια phishing εκστρατειών.

Παρά τα διάφορα μέτρα που λαμβάνονται από τους παρόχους email για τη μείωση του όγκου των spam emails, εξακολουθούν να είναι ένα διαδεδομένο ζήτημα στον ψηφιακό μας κόσμο. Στην πραγματικότητα, υπολογίζεται ότι περίπου το 54% της παγκόσμιας κίνησης email αποτελείται από ανεπιθύμητα μηνύματα.

Ενώ ορισμένα είναι σχετικά αβλαβή και στοχεύουν απλώς στην προώθηση προϊόντων ή υπηρεσιών, άλλα μπορεί να αποτελούν σοβαρές απειλές για την ασφάλεια. Για παράδειγμα, τα phishing emails προσπαθούν να εξαπατήσουν τους παραλήπτες ώστε να αποκαλύψουν ευαίσθητες πληροφορίες, όπως διαπιστευτήρια σύνδεσης ή οικονομικές λεπτομέρειες. Τα spam emails μπορούν επίσης να χρησιμοποιηθούν για τη διανομή κακόβουλου λογισμικού, το οποίο μπορεί να μολύνει υπολογιστές και να κλέψει προσωπικές πληροφορίες.

Στη συγκεκριμένη καμπάνια, μετά την αποστολή των spam emails, οι επιτιθέμενοι καλούν στο τηλέφωνο τους στόχους και παρουσιάζονται ως προσωπικό IT της υποτιθέμενης εταιρείας που έχει στείλει το email. Λένε ότι θα βοηθήσουν με την επίλυση των προβλημάτων με τα email και ζητούν από τους χρήστες να εγκαταστήσουν ένα λογισμικό απομακρυσμένης διαχείρισης.

Η απομακρυσμένη πρόσβαση στον υπολογιστή αξιοποιείται για τη λήψη κακόβουλων payloads, με σκοπό τη συλλογή διαπιστευτηρίων και τη διατήρηση persistence στις συσκευές.

Αυτό επιτυγχάνεται με την εκτέλεση διαφόρων batch scripts. Ένα από αυτά επικοινωνεί με έναν command-and-control (C2) server για τη λήψη ενός νόμιμου αντιγράφου του OpenSSH για Windows και για την εκκίνηση ενός reverse shell στον διακομιστή.

Σε μια περίπτωση, οι επιτιθέμενοι προσπάθησαν ανεπιτυχώς να αναπτύξουν Cobalt Strike beacons σε άλλα στοιχεία εντός του παραβιασμένου δικτύου.

Αν και δεν υπάρχουν στοιχεία για εκτέλεση ransomware, η Rapid7 είπε ότι η εκστρατεία αυτή έχει κάποια κοινά με προηγούμενες επιθέσεις που σχετίζονταν με τους χειριστές του ransomware Black Basta.

Η αλυσίδα επίθεσης περιλαμβάνει και την παροχή πρόσθετων εργαλείων απομακρυσμένης παρακολούθησης και διαχείρισης, όπως το ConnectWise ScreenConnect, καθώς και ένα trojan απομακρυσμένης πρόσβασης που ονομάζεται NetSupport RAT.

Πηγή: secnews.gr