СМИ сообщают, что компания Ikea борется с продолжающейся кибератакой: злоумышленники применяют против сотрудников внутренние фишинговые атаки, используя для этого украденные цепочки электронных писем.

Подобные атаки строятся на том, что злоумышленники похищают законную корпоративную переписку, а затем встраиваются в уже существующие цепочки писем, присылая жертвам ссылки на вредоносные документы, которые затем устанавливают малварь на устройства получателей. Поскольку такие письма представляют собой вполне легитимные email’ы и обычно отправляются от лица взломанных учетных записей и внутренних серверов компаний, получатели, как правило, доверяют таким посланиям.

Издание Bleeping Computer пишет, что в распоряжении его редакции оказались внутренние электронные письма, в которых Ikea предупреждает своих сотрудников о продолжающейся кибератаке с использованием email-цепочек. Такие письма приходят сотрудникам как с внутренних почтовых ящиков, так и от других взломанных организаций и деловых партнеров Ikea.

«Атака по электронной почте может исходить от кого-то, с кем вы работаете, из любой внешней организации, а также представлять собой ответ на уже идущую беседу. Поэтому ее трудно обнаружить, и мы просим вас быть особенно осторожными, — предупреждает Ikea. — Наши фильтры для электронной почты могут обнаруживать некоторые вредоносные письма и помещать их в карантин. Так как такое письмо может быть ответом на продолжающийся разговор, легко подумать, что фильтр допустил ошибку, и попытаться вызволить письмо из карантина. Поэтому вплоть до дальнейшего уведомления у всех [сотрудников] будет отключена возможность доставать электронные письма из карантина».

ИТ-специалисты компании сообщают, что такие email’ы содержат ссылки с семью цифрами на конце, и приводят пример такого послания. В настоящее время сотрудникам вообще рекомендуется не открывать электронные письма, независимо от отправителя, и немедленно сообщать о любых подозрениях в ИТ-отдел.

Издание напоминает, что недавно о подобных атаках предупреждали и специалисты компании Trend Micro. Эксперты писали, что злоумышленники взламывают серверы Microsoft Exchange по всему миру, чтобы получить доступ к их возможностям обмена сообщениями и рассылать вредоносные письма клиентам и сотрудникам компаний. По их данным, хакеры атакуют серверы Exchange, уязвимые перед такими проблемами, как ProxyLogon (CVE-2021-26855) и  ProxyShell (CVE-2021-34473 и CVE-2021-34523). Получив доступ к серверу, они используют функцию Powershell для чтения и взаимодействия с серверной системой хранения почты, а также встраиваются в уже существующие беседы, отправляя новые вредоносные сообщения всем участникам.

Bleeping Computer сообщает, что атаки, похоже, используются для распространения малвари Emotet или Qbot, заражение которой приводит к дальнейшей компрометации сети и, в конечном итоге, к развертыванию программ-вымогателей.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии