Cybersäkerhetsutbildningsorganisationen SANS Institute drabbades av ett dataintrång efter att en av dess anställda blivit offer för en nätfiskeattack.
SANS Institute, en av de största organisationerna som utbildar informationssäkerhetsspecialister runt om i världen, har själv drabbats av en cyberattack. Angripare fick tillgång till SANS-data efter att en av hennes HR-anställda föll för en nätfiskeattack.
Den 11 augusti rapporterade SANS att angriparen fick tillgång till en av de anställdas e-postkonto och ställde in omdirigeringen av all korrespondens som mottogs på den attackerade brevlådan till någon annan adress, och även installerade ett skadligt tillägg för Office 365.
Som ett resultat fick hackarna 513 brev, som innehöll totalt cirka 28 000 register över SANS-medlemmarnas personliga information. Denna information inkluderar inte lösenord eller finansiell information som kreditkort. Uppgifterna inkluderar e-postadresser, fullständiga namn, telefonnummer, jobbtitlar, företagsnamn och fysiska adresser.
Enligt SANS-utredningen började attacken med ett nätfiske-e-postmeddelande som poserade som en fil som påstås skickas av SANS SharePoint-tjänsten.
Filen hette "July Bonus Copy 24JUL2020.xls" och e-postmeddelandet uppmanade användaren att klicka på knappen "Öppna" för att komma åt filen.
Genom att klicka på knappen öppnas standardwebbläsaren på "https://officei6zq49rv2p5a4xbq8ge41f1enjjczo.s3.us-east-2.amazonaws[.]com/index.html" som uppmanar användaren att ange sina Office 365-uppgifter.
Parallellt installerades ett skadligt tillägg för Microsoft Office OAuth, kallat Enable4Excel.
När den har installerats lägger den till en ny vidarebefordranregel som heter Anti-Spam Rule som övervakar specifika nyckelord i e-postmeddelanden. Om ett matchande sökord hittades i e-postmeddelandet kommer det att omdirigeras till den externa adressen daemon[@]daemongr5yenh53ci0w6cjbbh1gy1l61fxpd.com.
Här är en lista över övervakade sökord:
agreement
Bank
bic
capital call
cash
Contribution
dividend
fund
iban
Payment
purchase
shares
swift
transfer
Wire
wiring info
Baserat på information från VirusTotal genomfördes nätfiskekampanjen den 24 juli 2020. SANS var inte det enda målet, minst två andra företag laddade upp liknande e-postmeddelanden till VirusTotal.