Кампания „противник в средата“ поразява десетки организации

„Десетки“ организации по целия свят са станали мишена на широка кампания за компрометиране на бизнес електронна поща (BEC), при която са използвани техники на „противник по средата“ (AitM) за извършване на атаките.

„След успешен опит за фишинг хакерът е получил първоначален достъп до акаунта на един от служителите на жертвата и е извършил атака „противник по средата“, за да заобиколи удостоверяването на Office365 и да получи постоянен достъп до този акаунт“, казват изследователите от Sygnia в доклад, споделен с The Hacker News.

„След като получи постоянен достъп,  заплахата ексфилтрира данни от компрометирания акаунт и използва достъпа си, за да разпространи фишинг атаки срещу други служители на жертвата заедно с няколко външни целеви организации.“

Констатациите идват по-малко от седмица, след като Microsoft подробно описа подобна комбинация от AitM фишинг и BEC атака, насочена към организации за банкови и финансови услуги.

BEC измамите обикновено включват подвеждане на мишената чрез електронна поща да изпрати пари или да разкрие поверителна фирмена информация. Освен че персонализира имейлите за набелязаната жертва, нападателят може също така да се представи за доверена личност, за да постигне целите си.

Това от своя страна може да бъде постигнато чрез поемане на контрола върху сметката чрез сложна схема за социално инженерство, след което измамникът изпраща по електронната поща на клиентите или доставчиците на компанията фалшиви фактури, които изискват плащане по измамна банкова сметка.

Във веригата от атаки, документирана от Sygnia, е наблюдавано как нападателят изпраща фишинг имейл, съдържащ връзка към предполагаем „споделен документ“, който в крайна сметка пренасочва жертвата към фишинг страница на AitM, предназначена да събере въведените идентификационни данни и еднократни пароли.

Нещо повече, твърди се, че хакерите са злоупотребили с временния достъп до компрометирания акаунт, за да регистрират ново устройство за многофакторна автентикация (MFA), за да се сдобият с постоянна отдалечена опора от друг IP адрес, разположен в Австралия.

„В допълнение към ексфилтрацията на чувствителни данни от акаунта на жертвата,  заплахата е използвала този достъп, за да изпрати нови фишинг имейли, съдържащи новата злонамерена връзка, на десетки служители на клиента, както и на допълнителни целеви организации“, казват изследователите от Sygnia.

Израелската компания за киберсигурност заяви още, че фишинг имейлите се разпространяват по „червеобразен начин“ от една целева фирма в друга и сред служителите в рамките на същата фирма. Точният мащаб на кампанията засега не е известен.

Източник: The Hacker News

Подобни публикации

4 октомври 2023

Киберсигурността: ключов фактор за настоящето и...

Месецът за повишаване на осведомеността за киберсигурността се отбе...
4 октомври 2023

Моделите на PyTorch са уязвими за изпълнение на...

Изследователи в областта на киберсигурността са разкрили множество ...
4 октомври 2023

Qualcomm издава кръпка за 3 нови нулеви дни

Производителят на чипове Qualcomm пусна актуализации за сигурност, ...
4 октомври 2023

Над 3 дузини зловредни пакети npm са насочени к...

Според констатации на Fortinet FortiGuard Labs в хранилището за пак...
4 октомври 2023

Милиони мейл сървъри на Exim са изложени на zer...

Критична уязвимост от типа „нулев ден“ във всички верси...
3 октомври 2023

Cyber Security Talks Bulgaria – ОКТОМВРИ 2023

На 10.10.2023 г. във Висшето военноморско училище в гр. Варна ще се...
3 октомври 2023

ФБР предупреждава за ръст на измамите с "фантом...

ФБР публикува съобщение за обществена услуга, в което предупреждава...
3 октомври 2023

Новият ASMCrypt Malware Loader лети под радара

Киберпрестъпници продават нов софтуер за криптиране и зареждане, на...
2 октомври 2023

Рансъмуер банди вече използват критичен недоста...

Бандите за изнудване сега се насочват към наскоро поправена критичн...
Бъдете социални
Още по темата
03/10/2023

ФБР предупреждава за ръст н...

ФБР публикува съобщение за обществена услуга,...
03/10/2023

Новият ASMCrypt Malware Loa...

Киберпрестъпници продават нов софтуер за криптиране...
02/10/2023

Motel One призна нарушение ...

Групата Motel One обяви, че е...
Последно добавени
04/10/2023

Киберсигурността: ключов фа...

Месецът за повишаване на осведомеността за...
04/10/2023

Моделите на PyTorch са уязв...

Изследователи в областта на киберсигурността са...
04/10/2023

Qualcomm издава кръпка за 3...

Производителят на чипове Qualcomm пусна актуализации...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!