L’organizzazione di formazione sulla sicurezza informatica SANS Institute ha subito una violazione dei dati dopo che uno dei suoi dipendenti è stato vittima di un attacco di phishing.
Il SANS Institute, una delle più grandi organizzazioni che forma specialisti della sicurezza delle informazioni in tutto il mondo, ha subito un attacco informatico. Gli aggressori hanno ottenuto l’accesso ai dati SANS dopo che uno dei suoi dipendenti delle risorse umane è stato vittima di un attacco di phishing.
L’11 agosto, SANS ha riferito che l’aggressore ha ottenuto l’accesso all’account e-mail di uno dei dipendenti e ha impostato il reindirizzamento di tutta la corrispondenza ricevuta sulla casella di posta attaccata a un altro indirizzo, oltre a installare un componente aggiuntivo dannoso per Office 365.
Di conseguenza, gli hacker hanno ricevuto 513 lettere, che contenevano un totale di circa 28.000 registrazioni delle informazioni personali dei membri SANS. Queste informazioni non includono password o informazioni finanziarie come carte di credito. I dati includono indirizzi e-mail, nomi completi, numeri di telefono, titoli di lavoro, nomi di società e indirizzi fisici.
Secondo l’indagine SANS, l’attacco è iniziato con un’e-mail di phishing che si presentava come un file presumibilmente inviato dal servizio SANS SharePoint.
Il file si chiamava "July Bonus Copy 24JUL2020.xls" e l’e-mail richiedeva all’utente di fare clic sul pulsante "Apri" per accedere al file.
Facendo clic sul pulsante si apre il browser predefinito in "https://officei6zq49rv2p5a4xbq8ge41f1enjjczo.s3.us-east-2.amazonaws[.]com/index.html" che richiede all’utente di inserire le proprie credenziali di Office 365.
Parallelamente, è stato installato un componente aggiuntivo dannoso per Microsoft Office OAuth, chiamato Enable4Excel.
Una volta installato, aggiunge una nuova regola di inoltro denominata Anti-Spam Rule che monitora parole chiave specifiche nelle e-mail. Se nell’e-mail viene trovata una parola chiave corrispondente, verrà reindirizzata all’indirizzo esterno daemon[@]daemongr5yenh53ci0w6cjbbh1gy1l61fxpd.com.
Ecco un elenco di parole chiave monitorate:
agreement
Bank
bic
capital call
cash
Contribution
dividend
fund
iban
Payment
purchase
shares
swift
transfer
Wire
wiring infoSulla base delle informazioni di VirusTotal, la campagna di phishing è stata condotta il 24 luglio 2020. SANS non era l’unico obiettivo, almeno altre due società hanno caricato e-mail simili su VirusTotal.