Νέα phishing καμπάνια σε τομείς πετρελαίου και φυσικού αερίου
Η Ομάδα Ερευνητών της Cofense Intelligence εντοπίζει μια υψηλής ποιότητας καμπάνια phishing που στοχεύει στον τομέα του πετρελαίου και του φυσικού αερίου.
Η επίθεση χρησιμοποιεί το εξελιγμένο κακόβουλο λογισμικό (Malware-as-a-Service – MaaS) γνωστό ως Rhadamanthys Stealer. Η ιδιαιτερότητα αυτής της καμπάνιας είναι η χρονική της στιγμή, καθώς εμφανίζεται λίγο μετά τη διάλυση της ομάδας απαγωγής δεδομένων LockBit από τις αρχές επιβολής του νόμου. Αυτό υποδηλώνει μια πιθανή μεταβολή στρατηγικής μεταξύ των χάκερς. Ο Rhadamanthys Stealer, ο οποίος αναβαθμίστηκε πρόσφατα στην “κακόβουλη αγορά”, προσφέρει βελτιωμένες δυνατότητες, επιτρέποντας στους κινδυνευόμενους να κλέψουν ευαίσθητα δεδομένα από τις στοχευμένες συσκευές.
Το σχέδιο ξεκινά με αποστολή ανεπιθύμητων email που χρησιμοποιούν ένα ψεύτικο έκθεμα οχήματος για να παρασύρουν τυχόν θύματα, ωθώντας τους να πατήσουν σε ένα σύνδεσμο που εκμεταλλεύεται ανοιχτές ανακατευθύνσεις σε γνωστούς τομείς όπως το Google Maps ή το Google Images. Αφού ακολουθήσουν αρκετές ανακατευθύνσεις, τα θύματα καταλήγουν σε ένα PDF, το οποίο μεταμφιέζεται ως ένα clickable εικονίδιο, ενεργοποιώντας τη λήψη ενός αρχείου ZIP από ένα αποθετήριο GitHub που περιέχει το εκτελέσιμο του Rhadamanthys Stealer. Αφού ενεργοποιηθεί, το κακόβουλο λογισμικό επικοινωνεί με έναν διακομιστή ελέγχου εντολών για να κλέψει προσωπικά δεδομένα, όπως διαπιστευτήρια και άλλες ευαίσθητες πληροφορίες.
Γραμμένο σε μορφή C++, το Rhadamanthys Stealer διαθέτει διάφορα χαρακτηριστικά που επιτρέπουν την εύκολη εξαγωγή δεδομένων, συμπεριλαμβανομένων λεπτομερειών σχετικά με συσκευές, αρχεία εγγράφων και διαπιστευτήρια που αποθηκεύονται σε διάφορες εφαρμογές και browser. Οι πρόσφατες αναβαθμίσεις στην έκδοση 5.0 προσφέρουν στους χάκερς επιλογές προσαρμογής και επιπλέον τακτικές για την αποφυγή μέτρων ασφαλείας, καθώς και την εκμετάλλευση τυχόν ευπαθειών.
Αυτή η εκστρατεία αναδεικνύει τη σταδιακή εξέλιξη της σύνθεσης των κυβερνοαπειλών που επηρεάζουν συγκεκριμένους κλάδους όπως η Πετρελαϊκή Βιομηχανία και το Φυσικό Αέριο, επισημαίνοντας την επιτακτική ανάγκη για ανθεκτικά μέτρα κυβερνοασφάλειας. Οι πελάτες της Cofense έχουν πρόσβαση σε IOCs μέσω της Ενεργής Αναφοράς Απειλής στο ThreatHQ.
Καθώς οι εταιρείες αντιμετωπίζουν αυτές τις απειλές, η εφαρμογή προληπτικών μεθόδων ασφαλείας και η εκπαίδευση των υπαλλήλων για αναγνώριση και πρόληψη των επιθέσεων phishing, καθώς και του προηγμένου κακόβουλου λογισμικού είναι ζωτικής σημασίας για τη μείωση ενδεχόμενων κινδύνων.
