HACKING

Πολυετής εκστρατεία phishing στοχεύει γερμανικές αυτοκινητοβιομηχανίες

This post was originally published on this site

Μια πολυετής εκστρατεία phishing στοχεύει γερμανικές αυτοκινητοβιομηχανίες, προσπαθώντας να μολύνουν τα συστήματά τους με password-stealing malware.

Οι στόχοι περιλαμβάνουν κατασκευαστές αυτοκινήτων και αντιπροσωπείες αυτοκινήτων στη Γερμανία, και οι απειλητικοί φορείς έχουν καταχωρίσει πολλαπλά όμοια domains για χρήση στη λειτουργία τους, κλωνοποιώντας νόμιμες τοποθεσίες διαφόρων οργανισμών σε αυτόν τον τομέα.

Αυτοί οι ιστότοποι χρησιμοποιούνται για την αποστολή phishing emails γραμμένα στα γερμανικά και φιλοξενούν τα malware payloads που έχουν ληφθεί σε στοχευμένα συστήματα.

Οι ερευνητές του Check Point ανακάλυψαν αυτήν την εκστρατεία και δημοσίευσαν μια τεχνική έκθεση όπου παρουσίασαν τις λεπτομέρειες των ευρημάτων τους. Σύμφωνα με την έκθεση, η εκστρατεία ξεκίνησε γύρω στον Ιούλιο του 2021 και εξακολουθεί να βρίσκεται σε εξέλιξη.

Στόχος οι γερμανικές αυτοκινητοβιομηχανίες

Η αλυσίδα μόλυνσης ξεκινά με ένα email που αποστέλλεται σε συγκεκριμένους στόχους που περιέχει ένα αρχείο εικόνας δίσκου ISO που παρακάμπτει πολλούς ελέγχους ασφαλείας στο Διαδίκτυο.

Για παράδειγμα, το παρακάτω phishing email προσποιείται ότι περιέχει μια απόδειξη μεταφοράς αυτοκινήτου που έχει σταλεί σε μια στοχευμένη αντιπροσωπεία.

Αυτό το αρχείο, με τη σειρά του, περιέχει ένα αρχείο .HTA που περιέχει εκτέλεση κώδικα JavaScript ή VBScript μέσω HTML smuggling.

Αυτή είναι μια κοινή τεχνική που χρησιμοποιείται από χάκερ όλων των επιπέδων δεξιοτήτων, από “script kiddies” που βασίζονται σε αυτοματοποιημένα κιτ έως χάκερ που χρηματοδοτούνται από το κράτος που αναπτύσσουν προσαρμοσμένα backdoors.

Ενώ το θύμα βλέπει ένα έγγραφο decoy που ανοίγει από το αρχείο HTA, ο κακόβουλος κώδικας εκτελείται στο παρασκήνιο για να ανακτήσει τα malware payloads και να τα εκκινήσει.

Τα MaaS info-stealers που χρησιμοποιούνται σε αυτήν την καμπάνια ποικίλλουν, συμπεριλαμβανομένων των Raccoon Stealer, AZORult και BitRAT. Και τα τρία είναι διαθέσιμα για αγορά σε αγορές εγκλήματος στον κυβερνοχώρο και darknet forums.

Σε νεότερες εκδόσεις του αρχείου HTA, ο κώδικας PowerShell εκτελείται για να αλλάξει τις τιμές μητρώου και να ενεργοποιήσει το περιεχόμενο στη σουίτα του Microsoft Office. Αυτό καθιστά περιττό για τους απειλητικούς παράγοντες το να ξεγελάσουν τον παραλήπτη ώστε να ενεργοποιήσει τις μακροεντολές και βελτιώνει το payload drop rate.

γερμανικές αυτοκινητοβιομηχανίες γερμανικές αυτοκινητοβιομηχανίες

Στόχοι και απόδοση

Η Check Point λέει ότι θα μπορούσε να εντοπίσει αυτές τις επιθέσεις σε 14 στοχευμένες οντότητες και όλες ήταν γερμανικές οργανώσεις που είχαν κάποια σχέση με τη βιομηχανία κατασκευής αυτοκινήτων. Ωστόσο, στην έκθεση δεν αναφέρονται συγκεκριμένα ονόματα εταιρειών.

Τα information-stealing payloads φιλοξενήθηκαν σε έναν ιστότοπο (“bornagroup[.]ir”) που καταχωρήθηκε από κάποιον Ιρανό, ενώ το ίδιο email χρησιμοποιήθηκε για τα phishing subdomains όπως “groupschumecher[.]com”.

Οι αναλυτές απειλών κατάφεραν να βρουν συνδέσμους προς μια διαφορετική επιχείρηση phishing που στόχευε πελάτες της Santander Bank, με sites που υποστηρίζουν αυτήν την εκστρατεία να φιλοξενούνται σε ιρανικό πάροχο υπηρεσιών διαδικτύου.

γερμανικές αυτοκινητοβιομηχανίες γερμανικές αυτοκινητοβιομηχανίες

Συνοπτικά, υπάρχει μεγάλη πιθανότητα οι Ιρανοί απειλητικοί παράγοντες να ενορχηστρώνουν την καμπάνια, αλλά το Check Point δεν έχει αρκετά στοιχεία για αποδόσει εκεί την ευθύνη.

Τέλος, όσον αφορά τους στόχους της εκστρατείας, πιθανότατα πρόκειται για βιομηχανική κατασκοπεία ή BEC (business email compromise), που στρέφεται εναντίον αυτών των εταιρειών ή των πελατών, των προμηθευτών και των εργολάβων τους.

Τα email που αποστέλλονται στους στόχους αφήνουν πολλά περιθώρια για αλληλογραφία, επομένως η δημιουργία μιας σχέσης με το θύμα και η απόκτηση της εμπιστοσύνης του είναι ένα πιθανό σενάριο που δίνει αξιοπιστία στην υπόθεση BEC.

Πηγή πληφοροριών: bleepingcomputer.com

The post Πολυετής εκστρατεία phishing στοχεύει γερμανικές αυτοκινητοβιομηχανίες appeared first on SecNews.gr.

https://www.secnews.gr/

%d bloggers like this: