Kompanije povjeravaju advokatima najosjetljivije informacije koje imaju. Napadači imaju za cilj da iskoriste tu vezu za isporuku malvera.
Ranije ovog mjeseca, sajber kriminalci zamaskirani u advokatske firme prevarili su više kompanija da preuzmu malver za početni pristup koji može prethoditi većim napadima u nastavku.
Grupa o kojoj je riječ, koju BlueVoyant prati kao “Narwhal Spider” (aka TA544, Storm-0302), dobro je poznata sajber istraživačima, sa finansijski motivisanim kampanjama koje datiraju najmanje od 2017. Nedavno je primjećena da eksploatiše zero day ranjivost u Windows SmartScreen-u.
Prije dvije sedmice — 7. marta — grupa je izvela svoju najnoviju pljačku: gotovo trenutni napad na krađu identiteta, sa malverom za početni pristup skrivenim unutar PDF-ova prerušenih u legalne fakture.
„Čini se kao da se radilo o udari i zgrabi“, kaže Joshua Green, viši istraživač za sigurnost za BlueVoyant. „Postavite infrastrukturu, pošaljite što je više moguće u široko rasprostranjenoj phishing kampanji, a zatim zatvorite infrastrukturu i nastavite dalje.“
Lažne pravne fakture
Svaka e-poruka Narwhal Spider-a počela je sa malicioznim PDF-om dizajniranim da izgleda kao autentična faktura za pravne usluge. Fajlovi su dobili legitimna imena u formatu: “Faktura_[broj]_od_[naziv advokatske firme].pdf.”
Kako Green kaže: “To je prilično standardna taktika jer funkcioniše – mamac priznanice, posebno ako je ne očekujete. I dodatak [imitiranih] vrhunskih advokatskih firmi, za ljude u profesionalnim krugovima, čini krajnjeg korisnika radoznalim. Znate, ‘Da kliknem i odem vidjeti šta se ovdje događa’.”
WordPress stranice koje se koriste za komandu i kontrolu (C2) u ovoj kampanji uključivale su domene povezane sa WikiLoaderom, sumnjivim preuzimačem koji je prvi opisao Proofpoint prošlog proljeća. Među ostalim tehnikama protiv analize, WikiLoader je najpoznatiji po malom triku: slanju HTTPS zahtjeva Wikipediji kako bi se utvrdilo da li se nalazi na uređaju povezanom na Internet ili u izolovanom okruženju sandbox-a. Za redundantnost, također pinguje neregistrovanu domenu i prekida ako se vrati valjan odgovor. Sandboxovi su često dizajnirani da daju valjane odgovore bez obzira na upit, kako bi ohrabrili uzorke malvera da urade svoje.
Do sada, WikiLoader teži da prethodi efikasnijem i destruktivnijem malveru. U nedavnoj SmartScreen kampanji, taj malver je bio Remcos RAT, ali ovi napadi su takođe bili predznaci za SystemBC RAT i istorijski omiljeni malver Narwhal Spider-a, Gozi (Ursnif) bankarski trojanac.
Ovoga puta, VirusTotal upload-ovi povezani s kampanjom sugerišu da bi bankarski trojanac/loader IcedID mogao biti jedan od takvih pratećih tereta.
Šta organi mogu da urade
Istorijski gledano, Narwhal Spider se specijalizovao za ciljanje talijanskih organizacija, ali “pred kraj prošle godine, ovaj protivnik je počeo da se širi. To pokazuje da su oni u dometu ciljanja SAD-a, posebno”, upozorava Green. Napadi 7. marta takođe su dostigli mete u Kanadi i Evropi.
Grupa je izbjegla svoj balon tako što je kreirala gole mejlove na više jezika, nešto što je u posljednje vrijeme postalo sve uobičajenije zahvaljujući modernim alatima za AI prevođenje.
Dakle, svakoj organizaciji koja bi mogla primiti jednu od ovih e-poruka, BlueVoyant preporučuje da paze na neobične obrasce prometa ili bilo kakav priliv vanjskih PDF faktura, posebno onih s datotekama koje slijede “Faktura_[broj]_od_[naziv advokatske firme]. pdf” formatu. I, dodaje Green, kompanije moraju adekvatno obučiti svoje radnike kako da uoče phishing mejlove.
„To je prilično standardni trop, ali: krajnji korisnik je najslabija tačka u većini poslovnih okruženja“, kaže on.
Izvor: Dark Reading