Проверьте навыки своих сотрудников
Нажимая кнопку «Отправить заявку» вы соглашаетесь с политикой обработки персональных данных.
Обзор новостей социальной инженерии
1
НОВАЯ ВОЛНА ФИШИНГА: АТАКИ С ИСПОЛЬЗОВАНИЕМ ADOBE INDESIGN
В настоящее время наблюдается рост фишинговых атак, использующих Adobe InDesign.
Согласно данным Barracuda Telemetry, количество электронных писем, содержащих ссылки на Adobe InDesign, увеличилось почти в 30 раз с октября. Если раньше ежедневное количество таких писем составляло около 75 в день, то теперь оно увеличилось примерно до 2000. Почти каждое десятое (9 процентов) из этих писем содержит активные фишинговые ссылки.
Многие из этих ссылок имеют домен верхнего уровня ".ru" и размещены в сети доставки контента (CDN), которая действует как прокси-сервер для исходного сайта. Это помогает скрыть источник контента и затрудняет обнаружение и блокировку атак технологиями безопасности.
Некоторые атаки с использованием Adobe InDesign, по-видимому, нацелены на конкретные организации или пользователей. Эти электронные письма содержат законные логотипы брендов, которые, вероятно, были скопированы злоумышленниками с веб-сайтов.
Остальные атаки в основном связаны с общими сообщениями массового распространения с логотипами OneDrive, SharePoint и Adobe. Некоторые содержат очень простой текст, составленный с минимальными усилиями.
В сообщениях получателю предлагается перейти по ссылке, которая приведет его на другой веб-сайт, размещенный на поддомене indd.adobe(.)com, но фактически контролируемый злоумышленниками, для проведения следующего этапа атаки.
Почему эти атаки успешны?
Атаки, использующие Adobe InDesign, используют несколько тактик, чтобы избежать обнаружения и обмануть своих жертв:
Используется хорошо известный и надежный домен, который обычно не блокируется. Кроме того, они могут создают очень убедительные атаки социальной инженерии.
Как только получатель нажмет на ссылку, он будет перенаправлен на другой веб-сайт. Это означает, что в теле сообщения нет известной вредоносной URL-ссылки, которую традиционные средства безопасности могли бы обнаружить и заблокировать.
Для атак, размещенных за CDN, это помогает скрыть вредоносный источник контента и затрудняет обнаружение и блокировку атаки технологиями безопасности.
Собранные данные о безопасности показывают, что некоторые фишинговые атаки с использованием Adobe InDesign были нацелены на нескольких сотрудников в одной организации.
Для защиты от таких атак организациям важно иметь продвинутую многоуровневую систему защиты электронной почты на базе искусственного интеллекта, способную обнаруживать как новые, так и известные угрозы. Это также должно включать функцию защиты ссылок, гарантирующую, что пользователи не перейдут по вредоносным URL-адресам. Технология проверяет каждый URL-адрес во время клика, чтобы определить, безопасна ли ссылка, прежде чем разрешить перенаправление.
В то же время сотрудники должны регулярно проходить обучение по вопросам кибербезопасности. Обучение должно обновляться по мере появления новых тенденций в области угроз, чтобы сотрудники знали, на что обращать внимание и что делать, если они обнаружат подозрительное или вредоносное электронное письмо.
Скачайте простые и понятные материалы для повышения осведомленности для ваших сотрудников здесь.
Согласно данным Barracuda Telemetry, количество электронных писем, содержащих ссылки на Adobe InDesign, увеличилось почти в 30 раз с октября. Если раньше ежедневное количество таких писем составляло около 75 в день, то теперь оно увеличилось примерно до 2000. Почти каждое десятое (9 процентов) из этих писем содержит активные фишинговые ссылки.
Многие из этих ссылок имеют домен верхнего уровня ".ru" и размещены в сети доставки контента (CDN), которая действует как прокси-сервер для исходного сайта. Это помогает скрыть источник контента и затрудняет обнаружение и блокировку атак технологиями безопасности.
Некоторые атаки с использованием Adobe InDesign, по-видимому, нацелены на конкретные организации или пользователей. Эти электронные письма содержат законные логотипы брендов, которые, вероятно, были скопированы злоумышленниками с веб-сайтов.
Остальные атаки в основном связаны с общими сообщениями массового распространения с логотипами OneDrive, SharePoint и Adobe. Некоторые содержат очень простой текст, составленный с минимальными усилиями.
В сообщениях получателю предлагается перейти по ссылке, которая приведет его на другой веб-сайт, размещенный на поддомене indd.adobe(.)com, но фактически контролируемый злоумышленниками, для проведения следующего этапа атаки.
Почему эти атаки успешны?
Атаки, использующие Adobe InDesign, используют несколько тактик, чтобы избежать обнаружения и обмануть своих жертв:
Используется хорошо известный и надежный домен, который обычно не блокируется. Кроме того, они могут создают очень убедительные атаки социальной инженерии.
Как только получатель нажмет на ссылку, он будет перенаправлен на другой веб-сайт. Это означает, что в теле сообщения нет известной вредоносной URL-ссылки, которую традиционные средства безопасности могли бы обнаружить и заблокировать.
Для атак, размещенных за CDN, это помогает скрыть вредоносный источник контента и затрудняет обнаружение и блокировку атаки технологиями безопасности.
Собранные данные о безопасности показывают, что некоторые фишинговые атаки с использованием Adobe InDesign были нацелены на нескольких сотрудников в одной организации.
Для защиты от таких атак организациям важно иметь продвинутую многоуровневую систему защиты электронной почты на базе искусственного интеллекта, способную обнаруживать как новые, так и известные угрозы. Это также должно включать функцию защиты ссылок, гарантирующую, что пользователи не перейдут по вредоносным URL-адресам. Технология проверяет каждый URL-адрес во время клика, чтобы определить, безопасна ли ссылка, прежде чем разрешить перенаправление.
В то же время сотрудники должны регулярно проходить обучение по вопросам кибербезопасности. Обучение должно обновляться по мере появления новых тенденций в области угроз, чтобы сотрудники знали, на что обращать внимание и что делать, если они обнаружат подозрительное или вредоносное электронное письмо.
Скачайте простые и понятные материалы для повышения осведомленности для ваших сотрудников здесь.
2
Новая кампания хакерской группы RedCurl
Воспользуйтесь бесплатными материалами от StopPhish для проверки и обучения сотрудников.
Кампания RedCurl, ранее известная своими атаками на финансовые организации в России, теперь использует легитимный компонент Windows Program Compatibility Assistant (PCA) для скрытого выполнения вредоносных команд. Этот инструмент, предназначенный для устранения проблем со старыми программами, теперь стал центральным элементом новой кампании группировки.
RedCurl начинает свои атаки с фишинговых писем, содержащих вредоносные вложения в форматах ISO и IMG. После активации этих вложений, запускается многоэтапный процесс, включающий загрузку утилиты curl с удаленного сервера. Через эту утилиту загружаются библиотеки загрузчиков (ms.dll или ps.dll), которые затем используют вредоносную DLL для установления связи с доменом и загрузки пейлоада. Для выполнения дополнительных команд в операционной системе злоумышленники также используют открытое ПО Impacket.
Эти новые методы атак RedCurl, раскрытые компанией Trend Micro, позволяют группировке злоумышленников продолжать свои киберпреступные операции, нацеленные на организации по всему миру. Специалисты F.A.C.C.T. обнаружили новую вредоносную кампанию RedCurl, которая в настоящее время нацелена на организации в Австралии, Сингапуре и Гонконге, активно атакуя строительный, логистический и добывающий секторы экономики.
Для защиты от подобных угроз, важно обучать сотрудников компании навыкам и правилам кибербезопасности. Обучение поможет предотвратить атаки фишингом и защитить организацию от утечек данных и финансовых потерь. Материалы для обучения сотрудников по вопросам кибербезопасности можно скачать на нашем сайте - это бесплатно. Помните, что безопасность вашей компании зависит от обученности ваших сотрудников!
RedCurl начинает свои атаки с фишинговых писем, содержащих вредоносные вложения в форматах ISO и IMG. После активации этих вложений, запускается многоэтапный процесс, включающий загрузку утилиты curl с удаленного сервера. Через эту утилиту загружаются библиотеки загрузчиков (ms.dll или ps.dll), которые затем используют вредоносную DLL для установления связи с доменом и загрузки пейлоада. Для выполнения дополнительных команд в операционной системе злоумышленники также используют открытое ПО Impacket.
Эти новые методы атак RedCurl, раскрытые компанией Trend Micro, позволяют группировке злоумышленников продолжать свои киберпреступные операции, нацеленные на организации по всему миру. Специалисты F.A.C.C.T. обнаружили новую вредоносную кампанию RedCurl, которая в настоящее время нацелена на организации в Австралии, Сингапуре и Гонконге, активно атакуя строительный, логистический и добывающий секторы экономики.
Для защиты от подобных угроз, важно обучать сотрудников компании навыкам и правилам кибербезопасности. Обучение поможет предотвратить атаки фишингом и защитить организацию от утечек данных и финансовых потерь. Материалы для обучения сотрудников по вопросам кибербезопасности можно скачать на нашем сайте - это бесплатно. Помните, что безопасность вашей компании зависит от обученности ваших сотрудников!
3
Хакеры из России используют функцию Microsoft Windows в глобальной фишинговой атаке
Хакерская группировка APT28 использует законные функции Microsoft Windows для распространения вредоносного программного обеспечения. По данным документа от кибербезопасного подразделения IBM X-Force, данная кампания была активной с ноября по февраль текущего года.
Злоумышленники (также известные как Fancy Bear, Forest Blizzard или ITG05) выдают себя за различные организации в Европе, на Южном Кавказе, в Центральной Азии, Северной и Южной Америке, связываясь со своими жертвами через электронную почту. В электронных письмах содержатся модифицированные PDF-файлы.
Те, кто поддается на обман, в конечном итоге устанавливают вредоносные программы MASEPIE, OCEANMAP и STEELHOOK, предназначенные для удаления файлов, выполнения произвольных команд и кражи данных браузера.
По словам исследователей, APT28 по-прежнему приспосабливается к изменяемым возможностям, предлагая новые методы инфицирования и используя коммерческую инфраструктуру, при этом постоянно развивая возможности вредоносного программного обеспечения.
Для того чтобы ваши сотрудники могли отличать уловки мошенников в подобных ситуациях, им необходимо уметь распознавать подозрительные электронные сообщения, особенно при получении вложенных файлов от неизвестных отправителей.
Также важно иметь знания о типичных методах фишинга, чтобы быстро распознавать потенциальные угрозы и принимать необходимые меры по защите системы. Скачать бесплатные материалы для обучения сотрудников вы можете здесь.
Злоумышленники (также известные как Fancy Bear, Forest Blizzard или ITG05) выдают себя за различные организации в Европе, на Южном Кавказе, в Центральной Азии, Северной и Южной Америке, связываясь со своими жертвами через электронную почту. В электронных письмах содержатся модифицированные PDF-файлы.
Те, кто поддается на обман, в конечном итоге устанавливают вредоносные программы MASEPIE, OCEANMAP и STEELHOOK, предназначенные для удаления файлов, выполнения произвольных команд и кражи данных браузера.
По словам исследователей, APT28 по-прежнему приспосабливается к изменяемым возможностям, предлагая новые методы инфицирования и используя коммерческую инфраструктуру, при этом постоянно развивая возможности вредоносного программного обеспечения.
Для того чтобы ваши сотрудники могли отличать уловки мошенников в подобных ситуациях, им необходимо уметь распознавать подозрительные электронные сообщения, особенно при получении вложенных файлов от неизвестных отправителей.
Также важно иметь знания о типичных методах фишинга, чтобы быстро распознавать потенциальные угрозы и принимать необходимые меры по защите системы. Скачать бесплатные материалы для обучения сотрудников вы можете здесь.
Мы в социальных сетях