Hakerzy włamali się do jednej z głównych firm zajmujących się cyberbezpieczeństwem – szczegóły
Organizacja szkoleniowa z zakresu cyberbezpieczeństwa SANS Institute doznała naruszenia danych po tym, jak jeden z jej pracowników padł ofiarą ataku phishingowego.
SANS Institute, jedna z największych organizacji szkolących specjalistów ds. bezpieczeństwa informacji na całym świecie, sama ucierpiała w wyniku cyberataku. Atakujący uzyskali dostęp do danych SANS po tym, jak jeden z jej pracowników HR padł ofiarą ataku phishingowego.
11 sierpnia SANS poinformował, że atakujący uzyskał dostęp do konta e-mail jednego z pracowników i skonfigurował przekierowanie całej korespondencji otrzymanej na zaatakowaną skrzynkę pocztową na inny adres, a także zainstalował złośliwy dodatek do Office 365.
W rezultacie hakerzy otrzymali 513 listów, które zawierały łącznie około 28 000 rekordów danych osobowych członków SANS. Informacje te nie obejmują haseł ani informacji finansowych, takich jak karty kredytowe. Dane obejmują adresy e-mail, imiona i nazwiska, numery telefonów, stanowiska, nazwy firm i adresy fizyczne.
Według dochodzenia SANS atak rozpoczął się od e-maila phishingowego udającego plik rzekomo wysłany przez usługę SANS SharePoint.
Plik nosił nazwę „July Bonus Copy 24JUL2020.xls", a wiadomość e-mail zachęcała użytkownika do kliknięcia przycisku „Otwórz”, aby uzyskać dostęp do pliku.
Kliknięcie przycisku otwiera domyślną przeglądarkę pod adresem „https://officei6zq49rv2p5a4xbq8ge41f1enjjczo.s3.us-east-2.amazonaws[.]com/index.html“, która monituje użytkownika o wprowadzenie poświadczeń usługi Office 365.
Równolegle instalowany był złośliwy dodatek do Microsoft Office OAuth o nazwie Enable4Excel.
Po zainstalowaniu dodaje nową regułę przekazywania o nazwie Reguła antyspamowa, która monitoruje określone słowa kluczowe w wiadomościach e-mail. Jeśli w wiadomości e-mail znaleziono pasujące słowo kluczowe, zostanie ona przekierowana na zewnętrzny adres daemon[@]daemongr5yenh53ci0w6cjbbh1gy1l61fxpd.com.
Oto lista monitorowanych słów kluczowych:
agreement
Bank
bic
capital call
cash
Contribution
dividend
fund
iban
Payment
purchase
shares
swift
transfer
Wire
wiring infoNa podstawie informacji z VirusTotal kampania phishingowa została przeprowadzona 24 lipca 2020 r. SANS nie był jedynym celem, co najmniej dwie inne firmy przesłały podobne e-maile do VirusTotal.