Компания Rapid7 обнаружила кампанию социальной инженерии. Злоумышленники отправляли пользователям электронную почту с нежелательной информацией и звонили им, предлагая помощь. После установления удаленного соединения злоумышленники загружали полезную нагрузку для получения учетных данных пользователей.
В одном из инцидентов злоумышленник устанавливал маяки Cobalt Strike на другие активы взломанной сети. Хотя программы-вымогатели не были обнаружены в этих случаях, обнаруженные индикаторы связывались с операторами программ-вымогателей Black Basta и другими операциями по реагированию на инциденты.
Компания Rapid7 отметила, что начиная с апреля 2024 года было обнаружено несколько случаев новой кампании социальной инженерии. Злоумышленники использовали спам-почту, которая перегружала системы защиты электронной почты и достигала ящиков пользователей. В большинстве случаев спам-письма были подтверждениями подписки на рассылку новостей от легитимных организаций.
После отправки спам-писем злоумышленники звонили пользователям, представляясь сотрудниками ИТ-отдела и предлагая помощь с проблемами почты. Они пытались получить удаленный доступ к компьютеру пользователя с помощью легитимных решений для удаленного мониторинга и управления, таких как AnyDesk или Microsoft Quick Assist.
Если попытки социальной инженерии были неуспешными и удаленный доступ не был получен, злоумышленники переходили к другому пользователю. При успешном получении доступа злоумышленники выполняли пакетные скрипты, которые создавали постоянство, устанавливали SSH-соединения и собирали учетные данные пользователей. Часто данные передавались на сервер злоумышленника через SCP.
Indicators of Compromise
IPv4
- 15.235.218.150
- 195.123.233.42
- 195.123.233.55
- 20.115.96.90
- 38.180.142.249
- 5.161.245.155
- 77.246.101.135
- 91.90.195.52
Domains
- greekpool.com
- limitedtoday.com
- rewilivak13.com
- thetrailbig.net
- upd7.com
- upd7a.com
SHA256
- 2ec12f4ee375087c921be72f3bd87e6e12a2394e8e747998676754c9e3e9798e
- 35456f84bc88854f16e316290104d71a1f350e84b479eebd6fbb2f77d36bca8a
- 59f1c5fe47c1733b84360a72e419a07315fbae895dd23c1e32f1392e67313859
- 6f31cf7a11189c683d8455180b4ee6a60781d2e3f3aadf3ecc86f578d480cfa9
- 76f959205d0a0c40f3200e174db6bb030a1fde39b0a190b6188d9c10a0ca07c8
- a47718693dc12f061692212a354afba8ca61590d8c25511c50cfecf73534c750
- c18e7709866f8b1a271a54407973152be1036ad3b57423101d7c3da98664d108
