جعل هویت شرکت‌های برجسته امنیتی؛ ترفند جدید مهاجمان

 

به تازگی شرکت کراوداسترایک (.CrowdStrike Holdings, Inc) نسبت به اجرای یک کارزار فیشینگ (Phishing) که در آن مهاجمان اقدام به جعل هویت شرکت‌های برجسته در حوزه امنیت سایبری می‌کنند، هشداری صادر کرده است.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، کارزار مذکور مورد بررسی قرار گرفته است.

در ایمیل‌های فیشینگ کارزار مذکور اینطور وانمود می‌شود که شرکت دریافت‌کننده ایمیل هک شده و قربانی می‌بایست با شماره تلفن درج شده در ایمیل تماس بگیرد.

این کارزار از تاکتیک‌های مهندسی اجتماعی مشابه که در کارزارهای اخیر همچون BazarCall 2021 بکارگرفته شده، استفاده می‌کند.

احتمال داده شده که در جریان این کارزار مهاجمان از ابزارهای معمول همکاری از راه دور (Remote Collaboration Tool – به اختصار RAT) جهت دسترسی و نفوذ اولیه، ابزارهای متداول تست نفوذ برای گسترش آلودگی به دستگاه‌های مجاور در شبکه و در نهایت اجرای کدهای مخرب به منظور آلوده‌سازی دستگاه‌ها به باج‌افزار یا سرقت اطلاعات استفاده می‌کنند.

در این کارزارها که به «برگردان تماس» (Callback) معروف هستند، مهاجمان ایمیل‌هایی در ظاهر از جانب شرکت‌های امنیتی برجسته ارسال می‌کنند. آنها در متن ایمیل ادعا می‌کنند که شرکت امنیتی مذکور خطری احتمالی را در شبکه آنها شناسایی کرده و همانند سایر کارزارهای «برگردان تماس»، یک شماره تلفن برای دریافت کننده ایمیل ارسال می‌کنند (همانند شکل زیر).

 

نمونه‌ای از ایمیل فیشینگ که ظاهراً از سوی شرکت کراوداسترایک ارسال شده

 

در حملات قبلی، در زمان تماس قربانیان با شماره درج شده در این گونه ایمیل‌ها، مهاجم آنها را متقاعد می‌کرد‌ تا به بهانه بررسی اولیه، نرم‌افزارهای RAT را در شبکه خود نصب کنند.

به عنوان مثال، محققان شرکت کراوداسترایک، کارزار «برگردان تماس» مشابه‌ای را در اسفند 1400 شناسایی کردند که در آن مهاجمان، AteraRMM و سپس Cobalt Strike را جهت گسترش آلودگی به دستگاه‌های مجاور در شبکه و اجرای بدافزار نصب کردند.

این در حالی است که در حال حاضر این محققان نمی‌دانند دقیقاً از چه نوع بدافزاری در این کارزار استفاده شده اما احتمالاً هدف مهاجمان انتشار باج‌افزار به منظور کسب درآمد می‌باشد.

کارزارهایی نظیر BazarCall 2021 در نهایت منجر به آلودگی به باج‌افزار Conti شده است، اگرچه اخیراً این باج‌افزار به عنوان یک سرویس اجاره‌ای (Ransomware-as-a-Service – به اختصار RaaS) فعالیت خود را متوقف کرده است. کارزار BazarCall 2021 اولین موردی بود که هویت نهادهای امنیت سایبری را جعل کرده بود و با توجه به ماهیت اضطراری آن، احتمال موفقیت بالقوه بیشتری داشت.

 

منبع:

https://www.crowdstrike.com/blog/callback-malware-campaigns-impersonate-crowdstrike-and-other-cybersecurity-companies/

 

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *