Álláshirdetésekkel okozott károkat a rettegett kiberbanda

​Biztonsági kutatók újabb, álláshirdetéseknek álcázott adathalász támadásokat lepleztek le. Egy neves kiberbanda állhat az akciók mögött.
 

Az In(ter)ception nevű kiberkémkedési akcióban a támadók állásajánlat ígéretével keresték fel a kiszemelt célpontokat a LinkedIn közösségi oldalon keresztül. Ennek során neves cégek HR-eseinek adták ki magukat. Leveleikhez egy átlagosnak tűnő PDF-fájlt is csatoltak, amelyet megnyitva egy kártékony kód települt észrevétlenül a címzettek számítógépére. 

Az ESET kutatói szerint több jel is arra utal, hogy a támadások a 2009 óta ismert, észak-koreai Lazarus csoporthoz köthetők. 

A csalók két módszert is alkalmaztak. Az ártalmas fájlokat vagy közvetlenül a LinkedIn üzenetküldőjén keresztül vagy egy OneDrive linket tartalmazó e-mailben küldték el. A másik módszerre pedig gondosan felkészültek a hackerek, hiszen a LinkedIn profiljukkal azonos e-mailfiókot is létrehoztak a látszat kedvéért.

"Az üzenetek nagyon hiteles állásajánlatról szóltak. Látszólag egy releváns szektor jól ismert vállalatától érkeztek a megkeresések"

- mondta Dominik Breitenbacher, a kutatás vezetője.

A kibertámadás rendkívül összetett és jól megtervezett volt. Miután a címzett megnyitotta a csatolt fájt, egy látszólag ártalmatlan PDF-dokumentum jelent meg, amely a hamis állásajánlattal kapcsolatos elérhető fizetéseket tartalmazta. Mindeközben a kártevő feltűnés nélkül települt az áldozatok számítógépére, és észrevétlenül megkezdte működését.  

Az ártalmas kódok feltelepítését követően a támadók legitim szoftvernek álcázott, saját fejlesztésű alkalmazásokkal és nyílt forráskódú eszközök módosított változataival támadták áldozataikat.

Adat és pénz

A biztonsági szakértők által feltárt bizonyítékok alapján a támadók a kémkedés mellett pénzt is próbáltak kicsikarni az áldozatok partnereitől. A sértettek levelei között olyan e-maileket kerestek, amelyek még ki nem egyenlített, függőben lévő számlákról szóltak. Ezt követően hamis e-mail címekről felvették a kapcsolatot az ügyfelekkel, és felszólították őket, hogy sürgősen fizessék be a tartozásukat - a csalók által nyitott - bankszámlákra. Szerencsére néhányan gyanút fogtak, és jelezték az esetet az érintett vállalatnak, így esetenként sikerült megelőzni a károkat.

"A felismerés, hogy az áldozatok hálózatait a támadók nemcsak az adatok kinyerésére, de pénzszerzésre is megpróbálták felhasználni, fel kell, hogy hívja a vállalkozások figyelmét a behatolások elleni erős védelem és a kiberbiztonsági képzések szükségességére. A munkavállalók oktatása segít abban, hogy felismerjék a mostani esethez hasonló, bizalmas céges adatok megszerzésére irányuló, pszichológiai manipulációktól (social engineering) sem mentes támadási kísérleteket"

- tette hozzá Dominik Breitenbacher.

Ahhoz, hogy megfelelően védekezni tudjunk az ilyen jellegű támadások ellen, érdemes megfogadni pár tanácsot a biztonságunk megőrzése érdekében:
  • Szervezzünk minden munkavállalónk számára kiberbiztonsági oktatást, amely gyakorlati elemeket és valós szituációkat is tartalmaz. 
  • A gyenge jelszavak potenciális biztonsági rést jelentenek a szervezet hálózatában a támadók számára. Keressük meg, és kezeljük ezeket a gyenge pontokat, valamint ahol csak lehet, alkalmazzunk többfaktoros hitelesítést.
  • Használjunk olyan biztonsági megoldásokat, amelyek kiszűrik és megsemmisítik az adathalász üzeneteket. 
  • Készítsünk közérthető biztonsági házirendet. 
  • Lássuk el céges eszközeinket többrétegű, megbízható végpontvédelemmel, és használjunk központi menedzsment megoldásokat, amelyekkel a rendszergazdák könnyen áttekinthetik a hálózatot, és észlelhetik a potenciális veszélyforrásokat. 
Vélemények
 
  1. 3

    A Juniper fejlesztői öt biztonsági rést foltoztak be a Junos OS-en.

  2. 4

    Az IBM a QRadar SIEM megoldásához két biztonsági frissítést tett letölthetővé.

  3. 1

    A Rozena.XM trójai kártékony programokkal halmozza el a fertőzött számítógépeket.

 
Partnerhírek
Androidon terjedő kémprogramot fedeztek fel az ESET kutatói

Egy androidos kémprogram új verzióját kezdték vizsgálni az ESET kutatói, amely mögött az APT-C-23 nevű, 2017 óta főként a Közel-Keleten aktív, hírhedten veszélyes bűnözői csoport áll.

​Az ESET egy globális művelet keretében harcol a Trickbot ellen

Az ESET kutatói is részt vesznek abban a globális összefogásban, amelynek célja a Trickbot megállítása, amely 2016-os működése óta több mint egymillió számítógépet fertőzött meg.

hirdetés
Közösség