„MixShell“ kenkėjiška programa
Kibernetinio saugumo tyrėjai atskleidė sudėtingą socialinės inžinerijos operaciją, kodiniu pavadinimu „ZipLine“, kuri naudoja slaptą atmintyje esančią kenkėjišką programą, vadinamą „MixShell“. Kampanija pirmiausia nukreipta prieš tiekimo grandinės požiūriu itin svarbias gamybos įmones ir atspindi augančią tendenciją, kai užpuolikai išnaudoja patikimus verslo darbo eigą, o ne tradicinius sukčiavimo metodus.
Turinys
Nuo kontaktinių formų iki kompromiso
Skirtingai nuo įprastų sukčiavimo atakų, vykdomų per nepageidaujamus el. laiškus, „ZipLine“ operatoriai pradeda įsilaužimą per įmonės „Susisiekite su mumis“ formą. Toks subtilus metodas nuo pat pradžių sukuria patikimumą. Po to seka kelias savaites trunkantis profesionalus ir įtikinamas bendravimas, dažnai sustiprinamas sufabrikuotomis konfidencialumo sutartimis, kol užpuolikai pristato kenkėjišką ZIP archyvą su „MixShell“.
Ši kantri pasitikėjimo kūrimo taktika išskiria „ZipLine“ iš kitų gąsdinimu paremtų kampanijų. Kai kuriais atvejais užpuolikai netgi susieja savo strategiją su dirbtinio intelekto iniciatyvomis, pristatydami save kaip partnerius, galinčius padėti sumažinti išlaidas ir padidinti efektyvumą.
Kas yra taikiklyje?
„ZipLine“ taikosi į platų spektrą, tačiau daugiausia dėmesio skiria JAV įsikūrusioms organizacijoms, veikiančioms tiekimo grandinės požiūriu svarbiose pramonės šakose. Kiti paveikti regionai yra Singapūras, Japonija ir Šveicarija.
Pagrindiniai tiksliniai sektoriai:
- Pramoninė gamyba (mašinos, metalo gaminiai, komponentai, inžinerinės sistemos)
- Aparatinė įranga ir puslaidininkiai
- Biotechnologijos ir farmacija
- Vartojimo prekių gamyba
Užpuolikai taip pat naudojasi domenais, imituojančiais JAV registruotas LLC, kartais perkėlę teisėtų, bet neaktyvių įmonių domenus. Šios klonuotos svetainės rodo labai struktūrizuotą, didelio masto operaciją.
Puolimo grandinės anatomija
„ZipLine“ sėkmė slypi daugiapakopiame užkrėtimo procese, sukurtame siekiant nepastebimo ir nuolatinio veikimo. Ginkluoti ZIP archyvai paprastai talpinami „Herokuapp.com“ – legalioje debesijos paslaugoje, kuri padeda kenkėjiškai programai įsilieti į įprastą tinklo veiklą.
Infekcijos procesas apima:
- „Windows“ spartusis klavišas (LNK) ZIP faile suaktyvina „PowerShell“ įkroviklį.
Nuorodos į ankstesnę grėsmių veiklą
Tyrėjai nustatė skaitmeninių sertifikatų, naudojamų „ZipLine“ infrastruktūroje, ir tų, kurie susiję su „TransferLoader“ atakomis, priskiriamomis grėsmių grupei „UNK_GreenSec“, sutapimų. Nors priskyrimas lieka neaiškus, šis ryšys rodo gerai organizuotą, išradingą veikėją, turintį ankstesnės patirties didelio masto kampanijose.
„ZipLine“ kampanijos rizika
Sėkmingo „MixShell“ užkrato pasekmės gali būti sunkios – nuo intelektinės nuosavybės vagystės ir verslo el. pašto nutekėjimo iki išpirkos reikalaujančių incidentų ir tiekimo grandinės sutrikimų. Atsižvelgiant į taikinių pramonės šakų pobūdį, poveikis gali būti laipsniškas ne tik atskiroms įmonėms, bet ir ištisoms gamybos ekosistemoms.
Apsauginės priemonės: kaip išvengti socialiai sukurtų grėsmių
„ZipLine“ kampanija pabrėžia, kaip kibernetiniai nusikaltėliai kuria inovacijas, pasitelkdami žmogaus psichologiją, patikimus bendravimo kanalus ir su dirbtiniu intelektu susijusias temas, kad išnaudotų pasitikėjimą.
Norėdamos kovoti su tokiomis grėsmėmis, organizacijos privalo:
- Pirmiausia taikyti prevencines gynybos priemones, gebančias aptikti anomalinį elgesį.
- Mokykite darbuotojus skeptiškai vertinti kiekvieną gaunamą užklausą, nepriklausomai nuo naudojamo kanalo.
- Taikykite griežtas failų tvarkymo taisykles, ypač ZIP archyvams ir nuorodų failams.
- Sustiprinti DNS pagrindu veikiančių ryšio anomalijų, kurios gali rodyti tuneliavimą, stebėjimą.
Budrumo kultūros kūrimas yra labai svarbus. Pasitikėjimas, kartą paverstas ginklu, tampa vienu veiksmingiausių užpuoliko arsenalo įrankių.
