Твитнуть
Ало, это взлом: как хакеры превращают доверчивость сотрудников в миллионы долларов
Более 130 компаний стали жертвами социальной инженерии.
Команда GuidePoint Research and Intelligence Team (GRIT) зафиксировала деятельность высокоразвитой хакерской группы, обладающей значительными навыками в области социальной инженерии и проникновения в сети, среди которых — умение общаться на английском языке на уровне носителей. Атаки этой группы нацелены на более чем 130 американских компаний из разных отраслей.
Основная цель злоумышленников — получение учетных данных и одноразовых паролей путем социальной инженерии, направленной на отдельных сотрудников организаций. Эти методы остаются незамеченными для традиционных средств безопасности, так как атаки происходят за пределами обычного поля видимости: с использованием телефонных звонков на мобильные телефоны сотрудников и SMS-сообщений. Без уведомлений от пользователей о таких звонках и сообщениях службы безопасности могут даже не подозревать о попытке взлома. Хакеры продолжают свои действия до тех пор, пока не найдут уязвимого сотрудника.
С 26 июня 2024 года группа зарегистрировала несколько доменных имен, похожих на адреса используемых организациями VPN-сервисов. Среди них: ciscow***ink.com, ciscolinkweb.com, fortivpnlink.com и другие. Злоумышленники звонят сотрудникам, представляясь службой технической поддержки, и сообщают о проблемах с входом в VPN, после чего отправляют ссылку на поддельный сайт. Этот сайт имитирует настоящую страницу входа в VPN, но создан для кражи учетных данных пользователя.
Фальшивые страницы входа тщательно подделаны, включая имена VPN-групп, используемых в организациях. В некоторых случаях добавляются вымышленные группы, такие как «TestVPN» и «RemoteVPN», для усиления эффекта социальной инженерии. Через такие страницы хакеры получают логин, пароль и, при использовании многофакторной аутентификации, токен пользователя. Если система использует push-уведомления, злоумышленники просят пользователя одобрить запрос, чтобы завершить атаку.
После получения доступа к сети через VPN хакеры немедленно начинают сканирование сети, выявляя цели для дальнейшего продвижения, сохранения доступа и повышения привилегий. Основной целью этой группы является финансовая выгода: в случае успешного проникновения они крадут данные, уничтожают резервные копии и в конечном итоге запускают программное обеспечение-вымогатель.
Службы безопасности компаний, которые могут оказаться под угрозой, настоятельно рекомендуют проверить журналы активности VPN за последние 30 дней на наличие подозрительных действий. В случае обнаружения признаков компрометации необходимо немедленно объявить инцидент и провести тщательное расследование. Также важно предупредить сотрудников о новых методах социальной инженерии и инструктировать их немедленно сообщать о подозрительных звонках от лиц, представляющихся сотрудниками IT или службы поддержки.
Более 130 компаний стали жертвами социальной инженерии.
Команда GuidePoint Research and Intelligence Team (GRIT) зафиксировала деятельность высокоразвитой хакерской группы, обладающей значительными навыками в области социальной инженерии и проникновения в сети, среди которых — умение общаться на английском языке на уровне носителей. Атаки этой группы нацелены на более чем 130 американских компаний из разных отраслей.
Основная цель злоумышленников — получение учетных данных и одноразовых паролей путем социальной инженерии, направленной на отдельных сотрудников организаций. Эти методы остаются незамеченными для традиционных средств безопасности, так как атаки происходят за пределами обычного поля видимости: с использованием телефонных звонков на мобильные телефоны сотрудников и SMS-сообщений. Без уведомлений от пользователей о таких звонках и сообщениях службы безопасности могут даже не подозревать о попытке взлома. Хакеры продолжают свои действия до тех пор, пока не найдут уязвимого сотрудника.
С 26 июня 2024 года группа зарегистрировала несколько доменных имен, похожих на адреса используемых организациями VPN-сервисов. Среди них: ciscow***ink.com, ciscolinkweb.com, fortivpnlink.com и другие. Злоумышленники звонят сотрудникам, представляясь службой технической поддержки, и сообщают о проблемах с входом в VPN, после чего отправляют ссылку на поддельный сайт. Этот сайт имитирует настоящую страницу входа в VPN, но создан для кражи учетных данных пользователя.
Фальшивые страницы входа тщательно подделаны, включая имена VPN-групп, используемых в организациях. В некоторых случаях добавляются вымышленные группы, такие как «TestVPN» и «RemoteVPN», для усиления эффекта социальной инженерии. Через такие страницы хакеры получают логин, пароль и, при использовании многофакторной аутентификации, токен пользователя. Если система использует push-уведомления, злоумышленники просят пользователя одобрить запрос, чтобы завершить атаку.
После получения доступа к сети через VPN хакеры немедленно начинают сканирование сети, выявляя цели для дальнейшего продвижения, сохранения доступа и повышения привилегий. Основной целью этой группы является финансовая выгода: в случае успешного проникновения они крадут данные, уничтожают резервные копии и в конечном итоге запускают программное обеспечение-вымогатель.
Службы безопасности компаний, которые могут оказаться под угрозой, настоятельно рекомендуют проверить журналы активности VPN за последние 30 дней на наличие подозрительных действий. В случае обнаружения признаков компрометации необходимо немедленно объявить инцидент и провести тщательное расследование. Также важно предупредить сотрудников о новых методах социальной инженерии и инструктировать их немедленно сообщать о подозрительных звонках от лиц, представляющихся сотрудниками IT или службы поддержки.
Комментарий