Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Представляйте решения на онлайн-конференции!

Новая кампания вишинга отбирает номера у мобильных операторов

07/12/22

hack154

Исследователи ИБ-компании CrowdStrike обнаружили новую кампанию, нацеленную на фирмы в сфере телекоммуникаций и аутсорсинга бизнес-процессов.

По словам экспертов, конечная цель этой кампании – получить доступ к сетям операторов мобильной связи и провести атаку с подменой SIM-карты (SIM Swapping). CrowdStrike приписывает финансово мотивированные атаки группировке Scattered Spider, передает Securitylab.

Утверждается, что первоначальный доступ к целевой среде осуществляется с помощью атак социальной инженерии, вишинг - атак, сообщений Telegram, и выдачи себя за IT-персонал. В ходе атаки киберпреступник направляет жертву на фишинговый сайт, где жертва вводит свои учетные данные, или убеждает установить инструменты удалённого доступа, такие как AnyDesk и Getscreen.me.

Если целевая учетная запись защищена с помощью двухфакторной аутентификации (2FA), злоумышленник либо убеждает жертву сказать одноразовый пароль, либо использует технику атаки под названием MFA Fatigue, которая использовалась при взломе Microsoft, Cisco и Uber.

Во многих своих атаках Scattered Spider получал доступ к консоли многофакторной аутентификации (МФА) скомпрометированного объекта и регистрировал свои устройства, чтобы осуществлять постоянный удалённый доступ с помощью легитимных инструментов удалённого контроля. Это позволяет киберпреступнику оставаться незамеченным.

После первоначального доступа и установления постоянства злоумышленник:

 

  • проводит разведку сред Windows, Linux, Google Workspace, Azure AD, Microsoft 365 и AWS;
  • выполняет боковое перемещение по сети;
  • использует SharePoint и OneDrive для сбора информации о VPN и МФА.

Напомним, что в сентябре компания Uber подверглась атаке социальной инженерии, в ходе которой злоумышленник, притворяясь IT-специалистом, убедил сотрудника написать его пароль, который позволил киберпреступнику получить доступ к системам Uber.

Темы:сотовые операторыПреступленияМошенничествоCrowdstrikeВишинг
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...