Cyble Research and Intelligence Labs (CRIL) otkrio je phishing kampanju u kojoj hakeri koriste aplikacije zabranjene u Rusiji za ciljanje korisnika.
Pregled napada
- Napad se izvodi putem phishing stranica koje oponašaju popularne aplikacije kao što su ExpressVPN, WeChat i Skype kako bi se privukli korisnici.(Sve ove aplikacije nisu dostupne u Rusiji zbog ograničenja u cijeloj zemlji.)
- Iako se stranice pretvaraju da hostuju legitimne aplikacije, one se zapravo koriste za isporuku Sistema za daljinsko upravljanje (RMS), legitimnog alata za udaljenu administraciju, kako bi se dobio početni pristup sistemima žrtava.
- Nakon što dobiju početni pristup, napadači koriste različite porodice malvera za obavljanje raznih zlonamjernih aktivnosti, kao što je krađa osjetljivih podataka.
Pripisivanje
- Prisustvo ruskog jezika u binarnom programu malvera ukazuje da je to djelo prijetnje ruskog porijekla.
- Istraživači navode da bi TA505 mogao stajati iza ove kampanje, na osnovu upotrebe RMS alata u prošlosti.
- Verzija RMS-a koja se koristi u ovoj kampanji omogućava napadačima da uspostave udaljenu vezu, snime ekrane računara i podatke o sistemu žrtava pljačke.
Treba napomenuti da korištenje legitimnih alata za daljinsko upravljanje od strane hakera i dalje preovlađuje u okruženju sajber prijetnji. Ovi alati obezbeđuju hakerima lak način da se stapaju sa legitimnim mrežnim saobraćajem, omogućavajući im da tajno izvode svoje radnje.
Završna nota
Preporučuje se implementacija bijele liste aplikacija kako bi se ograničilo izvršavanje nepoznatih ili neodobrenih aplikacija. Povremeno pregledajte listu usluga koje rade na sistemima kako biste bili sigurni od takvih napada. Nadalje, postavite upozorenja za neobične ili sumnjive obrasce prometa, koji mogu ukazivati na komunikaciju sa C2 serverom koji kontroliraju napadači.
Izvor: Cyware Alerts – Hacker News