Злоумышленник маскируется под ИБ-компанию, чтобы обмануть жертву и проникнуть в систему

В рамках новой фишинговой кампании с обратным звонком хакер выдал себя за CrowdStrike, чтобы предупредить получателя о том, что кто-то взломал рабочую станцию пользователя и требуется тщательный аудит безопасности.

Фишинговые кампании с обратным звонком сосредоточены на социальной инженерии и подробно объясняют, почему им должен быть предоставлен доступ к устройству получателя.

«Во время ежедневного аудита сети мы обнаружили аномальную активность, связанную с сегментом сети, частью которого является ваша рабочая станция. Мы определили конкретного администратора домена, который администрировал сеть, и подозреваем потенциальную компрометацию, которая может повлиять на все рабочие станции в этой сети, в том числе и вашу, поэтому мы проводим детальный аудит всех рабочих станций.

Мы уже связались напрямую с вашим отделом информационной безопасности, однако, для устранения взлома устройства нас направили к отдельным операторам этих рабочих станций, т.е. сотрудникам».

Киберпреступник в фишинговом письме попросил сотрудника позвонить по указанному номеру телефона, чтобы запланировать аудит безопасности рабочих станций. По телефону хакер помог сотруднику установить инструмент удаленного администрирования (remote administration tools, RAT), который позволяет злоумышленнику получить полный контроль над устройством и удаленно установить дополнительные инструменты. Эти инструменты дают возможность:

• распространяться по сети;
• красть корпоративные данные;
• развертывать программы-вымогатели для шифрования устройств.

Согласно отчету CrowdStrike , эта кампания может привести к атаке программы-вымогателя, как это было замечено в предыдущих фишинговых кампаниях с обратным вызовом. «Это первая идентифицированная кампания с обратным звонком, выдающая себя за фирмы по кибербезопасности, и она имеет более высокий потенциальный успех, учитывая быстрый характер кибератак», — заявила CrowdStrike.

По словам Виталия Кремеза из AdvIntel , обнаруженная кампания проводится группировкой Quantum , которая запустила свою кампанию, подобную BazarCall . «21 июня 2022 года компания AdvIntel обнаружила, что Quantum готовит новый IOC (Indicator of Compromise) на основе злоумышленника, выдающего себя за ИТ-специалиста Mandiant или CrowdStrike, чтобы убедить жертву разрешить киберпреступнику выполнить «проверку» машины».

Напомним, что группировка Luna Moth с помощью брендов Zoho Masterclass и Duolingo проводит классические фишинговые кампании , пытаясь скомпрометировать устройства жертв и украсть все доступные данные. В своих атаках группа использует социальную инженерию и RAT-инструменты.