Обзор новостей социальной инженерии

1
Шпионы Sticky Werewolf атакуют белорусские компании под видом CCleaner
Кибершпионская группа Sticky Werewolf взяла на прицел компании в Беларуси, используя троян Ozone под видом софта CCleaner версии 6.20. Злоумышленники с его помощью получают удаленный доступ к компьютерам своих жертв.

Sticky Werewolf - это группа хакеров, которая атакует государственные учреждения и финансовые компании в России и Беларуси. Для начала своей атаки Sticky Werewolf использует фишинговые электронные письма со ссылками на вредоносные файлы, а также такие инструменты, как трояны удаленного доступа Darktrack RAT и Ozone RAT, а также стилер MetaStealer, являющийся вариацией RedLine Stealer.

Специалисты в области информационной безопасности полагают, что атаки Sticky Werewolf связаны с тем, что Avast и CCleaner перестали функционировать в России.

"Несмотря на то, что Avast и CCleaner больше не доступны в России, их продукты остаются очень популярными как среди обычных пользователей, так и администраторов, обеспечивающих работу крупных сетей. После того, как CCleaner перестал быть доступным для загрузки в России, в интернете появились различные вредоносные программы, маскирующиеся под него, и в случае с вирусом Sticky Werewolf это не единственный вариант", - сказал Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании "Газинформсервис".

Повышение осведомленности сотрудников является важным элементом в обеспечении информационной безопасности организации. Проведение аудита кибербезопасности и регулярное обучение сотрудников помогут вас защищать компанию от кибератак.

2
Новая кампания взлома Microsoft Azure нацелена на руководителей высшего звена
Воспользуйтесь бесплатными материалами от StopPhish для проверки и обучения сотрудников.
Хакеры преследуют высокопоставленных специалистов, включая руководителей высшего звена, с помощью целенаправленных фишинговых атак и захвата облачных учетных записей, говорится в новом исследовании.

В отчете Proofpoint описана новая кампания по компрометации сред Microsoft Azure и облачных учетных записей, проводимая с конца ноября 2023 года.

Мошенники распространяли индивидуальные фишинговые приманки в общих документах. Исследователи заявляют, что некоторые документы содержат встроенные ссылки на "Просмотр документа", которые просто перенаправляют жертв на вредоносную фишинговую страницу, которая крадет учетные данные.

Частыми целями кампании становятся директора по продажам, менеджеры по работе с клиентами и финансовые менеджеры, а также лица, занимающие руководящие должности - вице-президенты по операциям, финансовые директоры, генеральный директоры.

Proofpoint отметила, что злоумышленники использовали пользовательский агент Linux - Mozilla / 5.0 (X11; Linux x86_64) AppleWebKit / 537.36 (KHTML, как Gecko) Chrome / 120.0.0.0 Safari / 537.36 - для доступа к приложению для входа в OfficeHome.

В дополнение к активности пользовательского агента Linux, Proofpoint обнаружил несанкционированный доступ к приложениям Microsoft365, включая WCSS-клиент в оболочке Office365, что, по словам исследователей, указывает на доступ браузера к приложениям Office365; Office 365 Exchange Online, что указывает на злоупотребление почтовым ящиком после компрометации; My Signins, что указывает на манипуляции с MFA; MyApps и My Profile.

Proofpoint предупредила, что после успешной компрометации учетных записей Azure субъекты угрозы сохраняли постоянство в облачных средах жертв, регистрируя свои собственные факторы MFA, включая альтернативные телефонные номера для аутентификации с помощью SMS, телефонных звонков или приложения-аутентификатора.

Повышайте осведомленность сотрудников в области кибербезопасности, чтобы защитить вашу компанию.


3

Хакеры используют AnyDesk в фишинговой кампании
Хакеры используют приложение AnyDesk remote desktop в фишинговой кампании, нацеленной на сотрудников, предупреждает Malwarebytes.

В рамках фишинговой кампании, недавно обнаруженной исследователями Malwarebytes, злоумышленники нацеливались на потенциальных жертв с помощью электронной почты или SMS, персонализированных в соответствии с их ролями в организации.

Но вместо фишинга с целью получения информации непосредственно от жертв, злоумышленники стремились заставить их загрузить программное обеспечение для удаленного мониторинга и управления (RMM) – в данном случае устаревшее (но легитимное) Исполняемый файл AnyDesk.

Чтобы заставить их сделать это, жертв направляли на недавно зарегистрированные веб-сайты, имитирующие различные финансовые учреждения, и просили загрузить "приложение для живого чата".

"При запуске программы будет показан код, который вы можете передать человеку, пытающемуся вам помочь. Это может позволить злоумышленнику получить контроль над компьютером и выполнять действия, которые выглядят так, будто они исходят непосредственно от пользователя ", - отметили исследователи Malwarebytes.

К сожалению, многие банковские сайты не могут определить, запускает ли клиент программу удаленного доступа при попытке входа в систему, и иногда субъектам угрозы удается избежать этих обнаружений (при их наличии).

Фишинговые кампании, побуждающие жертв скачивать RMM, не новы и были замечены нацеленными даже на правительственные учреждения.
Популярность и широкое использование RMM (таких как AnyDesk и ConnectWise Control) в организациях привлекли внимание киберпреступников, которые рассматривают их как полезный инструмент, который они могут использовать для взлома сети и доступа к конфиденциальным данным.

AnyDesk также недавно подверглась утечке данных, которая поставила под угрозу ее производственные системы. Учитывая его широкое использование в различных организациях, такой инцидент может иметь серьезные последствия.

Обучение сотрудников – это ключ к защите от фишинговых атак. Они должны знать:
* Как распознать фишинговое письмо или SMS.
* Какие признаки указывают на фейковый сайт.
* Как безопасно работать в Интернете.

Фишинговые атаки – это серьезная угроза. Но, повышая осведомленность в организации, вы можете защитить себя и свою компанию.
Мы в социальных сетях