Специалисты предупредили, что хакеры выдают себя за известные ИБ-компании (например, CrowdStrike), стремясь получить доступ к корпоративным сетям.
Обычно фишинговые письма содержат ссылки на целевые страницы, где у жертв похищают учетные данные, или «укомплектованы» вредоносными вложениями, которые используются для установки малвари в случае их открытия. Однако недавно аналитики CrowdStrike обнаружили не совсем обычную фишинговую кампанию, основанную на социальной инженерии: в письмах хакеры выдают себя за представителей CrowdStrike и утверждают, что компанию получателя письма взломали, и жертве необходимо срочно пройти тщательный аудит безопасности.
«Во время ежедневного аудита мы обнаружили аномальную активность, связанную с сегментом сети, частью которого является ваша рабочая станция. Мы определили конкретного администратора домена, который администрировал сеть, и подозреваем, что дело в потенциальной компрометации, которая могла затронуть все рабочие станции в этой сети (в том числе и вашу), поэтому мы проводим детальный аудит всех рабочих станций.
Мы уже связались напрямую с вашим отделом информационной безопасности, однако, для устранения потенциальной компрометации локальных рабочих станций, нас переадресовали к конкретным операторам этих рабочих станций, то есть сотрудникам», — заявляют мошенники в письмах, которые выгладят весь убедительно.
В фишинговом письме хакеры просят сотрудников целевой компании связаться с ними по указанному номеру телефона, чтобы запланировать проведение аудита безопасности. Если жертва попадается на приманку и звонит по указанному номеру, хакеры «помогают» сотруднику установить RAT, что позволит им получить полный контроль чужой над системой. После этого атакующие получают возможность удаленно устанавливать любые дополнительные инструменты, продвигаться по сети дальше, воровать корпоративные данные или вообще развернуть шифровальщика.
CrowdStrike отмечает, что в марте 2022 года ее аналитики выявили аналогичную кампанию, в рамках которой злоумышленники использовали AteraRMM для установки Cobalt Strike, а затем перемещались по сети жертвы и разворачивали малварь.
ИБ-эксперт Виталий Кремез из компании AdvIntel пишет, что кампания, обнаруженная CrowdStrike, может быть связана с вымогательской группировкой Quantum, которая ранее уже запускала собственную вредоносную кампанию, похожую на BazarCall.
«21 июня 2022 года компания AdvIntel обнаружила, что Quantum готовит новую кампанию, где злоумышленник выдает себя за ИТ-специалиста из Mandiant или CrowdStrike, чтобы убедить жертву разрешить ему выполнить “проверку” своей машины», — писали специалисты AdvIntel в своем недавнем отчете.