Spyware Blitz Berkompromi, Mengkanibal Jaringan ICS

Attackers menargetkan perusahaan industri dengan kampanye spyware yang memburu kredensial perusahaan sehingga mereka dapat digunakan baik untuk keuntungan finansial dan untuk mencopot jaringan yang disusupi untuk menyebarkan serangan di masa depan, para peneliti telah menemukan. mereka membatasi ruang lingkup dan masa pakai setiap sampel seminimal mungkin, menurut para peneliti di Kaspersky ICS CERT yang mengungkap kampanye tersebut.

Peneliti menyebut serangan itu “anomali” karena mereka menyimpang dari serangan spyware biasa, tulis Kirill Kruglov dari Kaspersky dalam sebuah laporan yang diterbitkan ini minggu di blog SecureList. Penyerang menggunakan email spearphishing yang dikirim dari kotak surat perusahaan yang disusupi yang menyertakan lampiran berbahaya yang mengirimkan spyware, jelasnya. -control (C2) sehingga mereka dapat melakukan serangan di masa mendatang, Kruglov menjelaskan.

“Kami percaya bahwa data yang dicuri awalnya digunakan oleh operator ancaman terutama untuk menyebarkan serangan di dalam jaringan lokal organisasi yang diserang (melalui email phishing) dan untuk menyerang orang lain organisasi untuk mengumpulkan lebih banyak kredensial, ”tulisnya. “Penyerang menggunakan kotak surat perusahaan yang dikompromikan dalam serangan sebelumnya sebagai server C2 untuk serangan baru.”

Malware yang digunakan dalam serangan biasanya milik “keluarga spyware komoditas terkenal,” seperti AgentTesla/Origin Logger, HawkEye, Noon/Formbook, Masslogger, Snake Keylogger, Azorult dan Lokibot, katanya.

Namun, “serangan ini menonjol dari arus utama karena jumlah target yang sangat terbatas di setiap serangan dan masa pakai yang sangat singkat dari setiap sampel berbahaya,” tulis Kruglov.

Menargetkan Perusahaan ICS

Tentang 45 persen komputer yang ditargetkan dalam kampanye tampaknya terkait dengan sistem kontrol industri (ICS) dan memiliki akses ke layanan email korporat dari perusahaan masing-masing, kata peneliti.

Peneliti Kaspersky telah mengidentifikasi lebih dari 2.000 akun email perusahaan milik perusahaan industri yang telah dicuri dan disalahgunakan sebagai serangan berikutnya C2 dalam kampanye. Namun, mereka memperkirakan bahwa lebih dari 7.000 sebenarnya telah dicuri, dijual di internet atau “disalahgunakan dengan cara lain,” tulis Kruglov.

“Di antara serangan semacam ini, kami telah melihat serangkaian besar kampanye yang menyebar dari satu industri perusahaan ke perusahaan lain melalui email phishing yang sulit dideteksi yang menyamar sebagai korespondensi organisasi korban dan menyalahgunakan sistem email perusahaan mereka untuk menyerang melalui daftar kontak kotak surat yang disusupi,” jelasnya. kampanye adalah “individu dan kelompok kecil berketerampilan rendah” yang beroperasi secara independen, kata mereka. Tujuan mereka adalah untuk melakukan kejahatan keuangan menggunakan kredensial curian atau untuk menghasilkan uang dengan menjual akses ke server dan layanan jaringan perusahaan.

Memang, mereka mengidentifikasi lebih dari 25 pasar berbeda di mana pelaku ancaman menjual data yang dicuri dalam kampanye melawan perusahaan industri.

“Di pasar ini, berbagai penjual menawarkan ribuan RDP, SMTP, SSH, cPanel, dan akun email, serta malware, skema penipuan, dan contoh email dan halaman web untuk rekayasa sosial,” jelas Kruglov.

Aktor ancaman berbahaya lainnya seperti Advanced Persistent Threat (APT) dan grup ransomware juga dapat menggunakan kredensial untuk memasang serangan, tambahnya.

Untuk menghindari kompromi oleh kampanye, Kaspersky merekomendasikan penerapan otentikasi dua faktor untuk akses email perusahaan dan layanan lain yang terhubung ke internet seperti RDP dan VPN- SSL gateways.

Researchers juga menyarankan agar organisasi meningkatkan keamanan titik akhir, melatih personel untuk mendekati dengan aman h semua email masuk, periksa folder spam secara teratur alih-alih hanya mengosongkannya dan pantau paparan akun organisasi ke web, di antara perlindungan lainnya. Foto burger cannibal milik Jack Lawrence. Detail lisensi.
Tulis komentar
Bagikan artikel ini:

  • Malwareliu
      iKeamanan Web