Hakkerit hakkeroivat yhden tärkeimmistä kyberturvallisuusyrityksistä – yksityiskohdat
Kyberturvallisuuskoulutusorganisaatio SANS Institute joutui tietomurtoon sen jälkeen, kun yksi sen työntekijöistä joutui tietojenkalasteluhyökkäyksen uhriksi.
SANS Institute, yksi suurimmista tietoturvaasiantuntijoita eri puolilla maailmaa kouluttavista organisaatioista, on itsekin kärsinyt kyberhyökkäyksestä. Hyökkääjät pääsivät SANS-tietoihin sen jälkeen, kun yksi hänen HR-työntekijöistään joutui tietojenkalasteluhyökkäykseen.
Elokuun 11. päivänä SANS ilmoitti, että hyökkääjä pääsi yhden työntekijän sähköpostitiliin ja ohjasi kaiken hyökkäyksen kohteena olevaan postilaatikkoon saapuneen kirjeenvaihdon johonkin toiseen osoitteeseen ja asensi myös haitallisen lisäosan Office 365:een.
Tämän seurauksena hakkerit saivat 513 kirjettä, jotka sisälsivät yhteensä noin 28 000 tietuetta SANS-jäsenten henkilötiedoista. Nämä tiedot eivät sisällä salasanoja tai taloudellisia tietoja, kuten luottokortteja. Tiedot sisältävät sähköpostiosoitteita, koko nimiä, puhelinnumeroita, työnimikkeitä, yritysten nimiä ja fyysisiä osoitteita.
SANS-tutkimuksen mukaan hyökkäys alkoi tietojenkalasteluviestillä, joka esiintyi SANS SharePoint -palvelun väitetysti lähettämänä tiedostona.
Tiedoston nimi oli "July Bonus Copy 24JUL2020.xls" ja sähköposti kehotti käyttäjää napsauttamaan "Avaa"-painiketta päästäkseen tiedostoon.
Napsauttamalla painiketta avautuu oletusselain osoitteessa "https://officei6zq49rv2p5a4xbq8ge41f1enjjczo.s3.us-east-2.amazonaws[.]com/index.html", joka kehottaa käyttäjää syöttämään Office 365 -kirjautumistietonsa.
Samanaikaisesti asennettiin haitallinen Microsoft Office OAuth -lisäosa nimeltä Enable4Excel.
Kun se on asennettu, se lisää uuden edelleenlähetyssäännön nimeltä Anti-Spam Rule, joka valvoo tiettyjä avainsanoja sähköpostiviesteissä. Jos sähköpostista löytyi vastaava avainsana, se ohjataan ulkoiseen osoitteeseen daemon[@]daemongr5yenh53ci0w6cjbbh1gy1l61fxpd.com.
Tässä on luettelo valvotuista avainsanoista:
agreement
Bank
bic
capital call
cash
Contribution
dividend
fund
iban
Payment
purchase
shares
swift
transfer
Wire
wiring infoVirusTotalin tietojen perusteella tietojenkalastelukampanja toteutettiin 24.7.2020. SANS ei ollut ainoa kohde, ainakin kaksi muuta yritystä latasi samanlaisia sähköposteja VirusTotaliin.