Как хакеры используют Sock Puppets для убедительных фишинговых атак

хакеры используют sock puppets фишинговые атаки новости
Исследователи кибербезопасности в Proofpoint следили за усовершенствованной постоянной угрозой (APT), известной как TA453, и недавно обнаружили, что субъект угрозы использует метод фишинга, который использует учетные записи электронной почты sock puppet. Носочные марионетки — это альтернативные учетные записи или персонажи, используемые одним актером в обманной манере. Компания Proofpoint наблюдала случаи, когда субъекты угроз использовали несколько пользователей электронной почты в одной цепочке электронной почты для проведения фишинговых атак, что побудило фирму, занимающуюся кибербезопасностью, назвать этот метод «имитацией нескольких пользователей» (MPI).

Последний злоумышленник, использовавший эту технику, — TA453, иранская группа угроз, также известная как « Очаровательный котенок ». ». Исследование Proofpoint показывает, что эта группа поддерживает интересы Корпуса стражей исламской революции (КСИР). TA453 в основном нацелен на ученых, политиков, дипломатов, журналистов и правозащитников. Злоумышленник проводит фишинговые атаки, переписываясь со своими целями под видом журналиста, ученого или другого лица, заинтересованного в работе целей.

цепочка фишинговых писем с новостями от нескольких пользователей
Человек, отвечающий на цепочку писем, начатую другим пользователем (щелкните, чтобы увеличить) (источник: Proofpoint )

TA453 недавно немного изменил свою тактику, притворяясь несколькими людьми одновременно в своей переписке по электронной почте. Предположительно, идея, лежащая в основе этого изменения в технике, заключается в том, что цепочка электронных писем с несколькими активными участниками с большей вероятностью будет выглядеть законной, чем электронное письмо, отправленное одним человеком. На изображении выше показано электронное письмо, отправленное в цепочке писем, отправленных несколькими людьми в рамках фишинговой атаки.

Атака началась с электронного письма, отправленного «Харальдом Оттом» с просьбой оставить отзыв о проекте, связанном с областью исследований цели. В этом первом электронном письме были идентифицированы и подписаны два других человека по именам «Клэр Пэрри» и «Эндрю Маршалл». Затем «Эндрю» продолжил первое электронное письмо, предварительно поблагодарив цель за уделенное время и выразив желание получить ответ от цели. «Харальд», «Эндрю» и «Клэр» — все персонажи, контролируемые злоумышленником, но их сфабрикованная переписка придает цепочке электронной почты видимость легитимности.

В конце концов цель ответила на цепочку электронных писем, предложив «Харальду» отправить еще одно электронное письмо со ссылкой на документ Word под названием «Ott-Lab 371.docx. Этот текстовый документ загружает шаблон с поддержкой макросов, содержащий три разных макроса. Эти макросы собирать и удалять информацию о пользователях и устройствах, включая IP-адрес пользователя и список запущенных процессов. Эти макросы, по-видимому, не выполняют никаких дополнительных вредоносных действий, поэтому они могут быть предназначены для разведки, при этом злоумышленник планирует провести дальнейшие атаки позже на основе программного обеспечения, обнаруженного на компьютерах жертв. Помимо вредоносной полезной нагрузки, эта атака демонстрирует, что фишинговые атаки могут осуществляться в форме активной цепочки электронной почты, содержащей несколько корреспондентов, что затрудняет для пользователей идентификацию атак как таковых, пока не стало слишком поздно.

Верхнее изображение предоставлено Алексом Брауном

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал