W czasach pandemii kreatywność sięga zenitu, a phishing rośnie teraz jak grzyby po deszczu. Jednak, nie tylko on… O obrotach pomysłowości przestępców napisano już wiele, a ta, zdaje się, nie zamierza przestać nas zaskakiwać.
Tym razem chodzi przede wszystkim o nowo wykryte ataki. Tutaj z kolei laury należą się przede wszystkim Kaspersky ICS Cert, którzy to znaleźli ostatnio nieco niepokojące posunięcia. Otóż sprawcy, o których mowa, podjęli się… utrudniania araku analizą ruchu sieciowego! Co więcej, w międzyczasie znaleźli też sposób na sprawdzenie wersji językowej systemów ofiar.
A ponieważ sam Kaspersky podjął się opisania ataków na przykład na organizacje japońskie, włoskie czy niemieckie – wiemy nieco więcej. Dlatego też, tym razem kierujemy się przede wszystkim do potencjalnych ofiar – dostawców sprzętu i oprogramowania na potrzeby przemysłu. Czemu przestępcy uderzają tak, a nie inaczej? Tego na razie nie wiadomo.
Phishing phishingowi nie równy?
Tymczasem, na pierwszy ogień bierzemy… załączniki! Przede wszystkim dlatego, że gros ataków tak właśnie wydeptuje sobie ścieżkę – emailem z dokumentem w załączniku. Ten z kolei zachęcał przede wszystkim do natychmiastowego otwarcia dokumentu Excela. Kolejnym krokiem jest otwarcie zawartości, w efekcie którego następuje deszyfryzacja i realizacja skryptu PowerShell.
W międzyczasie, ten ostatni z kolei zawiera listę adresów URL, które prowadzą do obrazka w jednym z serwisów.
Phishing ustępuje miejsca steganografii
Tymczasem, phishing usuwa się w cień, by cała na biało mogła wejść właśnie steganografia. Tutaj z kolei, odpowiednie piksele obrazków zawierają dane. Mówiąc precyzyjniej – dane zakodowane są algorytmem Base64, zaszyfrowane RSA oraz znów zakodowane Base64. Jednak po wyciągnięciu danych z obrazka i ich zdekodowaniu objawia się kolejny skrypt PowerShell, zachowujący się dokładnie tak jak poprzedni.
W efekcie ów zabiegów mamy do czynienia ze skryptem, który zawiera narzędzie do wykradania danych uwierzytelniających – Mimikatz.
Phishing też się myli..
Tymczasem, pierwszy skrypt zawierał w kodzie pewien błąd – zwracany komunikat o niedogodności stanowił równocześnie klucz do deszyfryzacji. A ponieważ tekst komunikatu jest odmienny w zależności od wersji językowej – wszystko mogło pójść po myśli przestępców, gdy ofiara dysponowała określoną odmianą językową. W efekcie – pułapka zasadzona była przede wszystkim na ofiary z określonego kraju.
Wszystko to, gdy zbierzemy razem, definiuje precedens całkiem ciekawym! Dlaczego? Przede wszystkim dlatego, że użycie steganografii pozwalało na pobieranie danych z źródeł całkiem normalnych, nie budzących żadnych podejrzeń. To z kolei miało prawo utrudnić wykrycie ataku.
Co więcej atak był wycelowany przede wszystkim w określone organizacje, będące dostawcami rozwiązań przemysłowych.
Gdy phishing nie jest mile widziany…
A ponieważ zdobycie podobnych danych daje szerokie pole do popisu – Kaspersky’im pozostaje przede wszystkim monitoring dalszych incydentów.
Co więc zrobić i jak żyć w obliczu takich wydarzeń?
Ano przede wszystkim należy po pierwsze przeszkolić pracowników w kwestii odporności na phishing. Dodatkowo, dobrze jest zbadać oprogramowanie antywirusowe i higienę haseł. W tej ostatniej z kolei chodzi przede wszystkim o nie korzystanie z tych samych wersji zabezpieczenia w wielu miejscach.
Tymczasem, ataki na przemysł o nieokreślonych do końca celach nie są nowością. Jednak niektóre były już przeprowadzane nieco ostrożniej, a celem były te specjalistyczne systemy. Warto mieć się więc na baczności!
Źródło obrazka: ics-cert.kaspersky.com