جعل هویت شرکتهای برجسته امنیتی؛ ترفند جدید مهاجمان
به تازگی شرکت کراوداسترایک (.CrowdStrike Holdings, Inc) نسبت به اجرای یک کارزار فیشینگ (Phishing) که در آن مهاجمان اقدام به جعل هویت شرکتهای برجسته در حوزه امنیت سایبری میکنند، هشداری صادر کرده است.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، کارزار مذکور مورد بررسی قرار گرفته است.
در ایمیلهای فیشینگ کارزار مذکور اینطور وانمود میشود که شرکت دریافتکننده ایمیل هک شده و قربانی میبایست با شماره تلفن درج شده در ایمیل تماس بگیرد.
این کارزار از تاکتیکهای مهندسی اجتماعی مشابه که در کارزارهای اخیر همچون BazarCall 2021 بکارگرفته شده، استفاده میکند.
احتمال داده شده که در جریان این کارزار مهاجمان از ابزارهای معمول همکاری از راه دور (Remote Collaboration Tool – به اختصار RAT) جهت دسترسی و نفوذ اولیه، ابزارهای متداول تست نفوذ برای گسترش آلودگی به دستگاههای مجاور در شبکه و در نهایت اجرای کدهای مخرب به منظور آلودهسازی دستگاهها به باجافزار یا سرقت اطلاعات استفاده میکنند.
در این کارزارها که به «برگردان تماس» (Callback) معروف هستند، مهاجمان ایمیلهایی در ظاهر از جانب شرکتهای امنیتی برجسته ارسال میکنند. آنها در متن ایمیل ادعا میکنند که شرکت امنیتی مذکور خطری احتمالی را در شبکه آنها شناسایی کرده و همانند سایر کارزارهای «برگردان تماس»، یک شماره تلفن برای دریافت کننده ایمیل ارسال میکنند (همانند شکل زیر).
نمونهای از ایمیل فیشینگ که ظاهراً از سوی شرکت کراوداسترایک ارسال شده
در حملات قبلی، در زمان تماس قربانیان با شماره درج شده در این گونه ایمیلها، مهاجم آنها را متقاعد میکرد تا به بهانه بررسی اولیه، نرمافزارهای RAT را در شبکه خود نصب کنند.
به عنوان مثال، محققان شرکت کراوداسترایک، کارزار «برگردان تماس» مشابهای را در اسفند 1400 شناسایی کردند که در آن مهاجمان، AteraRMM و سپس Cobalt Strike را جهت گسترش آلودگی به دستگاههای مجاور در شبکه و اجرای بدافزار نصب کردند.
این در حالی است که در حال حاضر این محققان نمیدانند دقیقاً از چه نوع بدافزاری در این کارزار استفاده شده اما احتمالاً هدف مهاجمان انتشار باجافزار به منظور کسب درآمد میباشد.
کارزارهایی نظیر BazarCall 2021 در نهایت منجر به آلودگی به باجافزار Conti شده است، اگرچه اخیراً این باجافزار به عنوان یک سرویس اجارهای (Ransomware-as-a-Service – به اختصار RaaS) فعالیت خود را متوقف کرده است. کارزار BazarCall 2021 اولین موردی بود که هویت نهادهای امنیت سایبری را جعل کرده بود و با توجه به ماهیت اضطراری آن، احتمال موفقیت بالقوه بیشتری داشت.
منبع:
