Κακόβουλοι hackers εκμεταλλεύονται αρχεία του Microsoft OneNote ως μέσο για να παραβιάσουν συστήματα σε διάφορους κλάδους βιομηχανίας.
Δείτε επίσης: Μια νέα καμπάνια phishing της Emotet στοχεύει φορολογούμενους στις ΗΠΑ
Η εκστρατεία, υπό το ραντάρ των ειδικών στην κυβερνοασφάλεια, αναδεικνύει μια νέα τάση στις κυβερνοαπειλές, εκμεταλλευόμενη δημοφιλείς εφαρμογές office, για την απόκτηση μη εξουσιοδοτημένης πρόσβασης στα εταιρικά δίκτυα.
Το κακόβουλο σχέδιο καταγράφηκε αρχικά από την pr0xylife στο αποθετήριο τους στο GitHub. Σύμφωνα με ερευνητές από το THE DFIR REPORT, ανακαλύφθηκε μια ευρεία επιχείρηση phishing μέσω email που στοχεύει εταιρείες στους κλάδους της κατασκευής, τεχνολογίας, ενέργειας, λιανικής, ασφαλίσεων και σε πολλούς άλλους τομείς.
Τα email που αποστέλονταν από τους hackers, περιείχαν συνημμένα αρχεία Microsoft OneNote που υποστηρίζαν ότι είναι “ασφαλή μηνύματα,” για να εξαπατήσουν τους παραλήπτες και να ανοίξουν τα αρχεία.
Η ανάλυση απειλών της Proofpoint επισήμανε τον σχετικά χαμηλό όγκο της καμπάνιας, με τους ερευνητές να αναφέρουν ότι λιγότερα από χίλια μηνύματα παρατηρήθηκαν εντός δύο ημερών. Ωστόσο, η ευρεία επίθεση σε μη σχετικούς κλάδους, υπογραμμίζει την πρόθεση των δραστών να ρίξουν ένα ευρύ δίχτυ, ελπίζοντας να πιάσουν ανυποψίαστα θύματα.
Η επίθεση ξεκινά με το θύμα να λαμβάνει ένα email που περιέχει ένα αρχείο OneNote. Κατά το άνοιγμα, αυτό το αρχείο παρουσιάζει ένα μεγάλο κουμπί “Άνοιγμα” πίσω από το οποίο βρίσκεται ένα αρχείο Windows batch με το όνομα “O p e n.cmd.”
Δείτε ακόμα: Evernote: Καταργεί το δωρεάν πρόγραμμα του;
Μετά την εκτέλεσή του, αυτό το αρχείο χρησιμοποιεί το PowerShell για να κατεβάσει ένα DLL του IcedID που προσποιείται ένα αρχείο JPG. Αυτό το DLL στη συνέχεια συνδέεται με διακομιστές ελέγχου εντολών, σηματοδοτώντας την επιτυχή παραβίαση του συστήματος.
Η απλότητα του αρχικού διανύσματος πρόσβασης, σε συνδυασμό με τη χρήση ενός μη εξαιρετικά προηγμένου αρχείου Microsoft OneNote, υποδεικνύει την εξάρτηση των hackers από το social engineering αντί της τεχνικής εξειδίκευσης για τη διείσδυση στα εταιρικά δίκτυα.
Η εισβολή δεν σταματά στην αρχική παραβίαση. Την 33η ημέρα της εισβολής, το malware IcedID διευκόλυνε την εκτέλεση των Cobalt Strike beacons, αποτελώντας απόδειξη της υπομονής και επιμονής των εισβολέων.
Το Cobalt Strike, ένα νόμιμο εργαλείο που χρησιμοποιείται από επαγγελματίες κυβερνοασφάλειας, έχει καταχραστεί από χάκερ για κακόβουλους σκοπούς, επιτρέποντας τους να διατηρούν μια παρουσία στο παραβιασμένο δίκτυο.
Η εκστρατεία επέδειξε επίσης έναν τρόπο επίτευξης επίμονης παρουσίας δημιουργώντας προγραμματισμένες εργασίες και εγκαθιστώντας το AnyDesk, ένα λογισμικό απομακρυσμένης επιφάνειας εργασίας. Αυτό επέτρεψε στους εισβολείς να επιστρέψουν στο παταβιασμένο σύστημα κατ’ επιλογήν, ενισχύοντας περαιτέρω την παρουσία τους στο δίκτυο του θύματος.
Δείτε επίσης: Η Microsoft προσφέρει δωρεάν τα Office σε 4 εκατομμύρια χρήστες
Πώς μπορούμε να προστατευτούμε από κυβερνοεπιθέσεις;
Η προστασία από τις κυβερνοεπιθέσεις, όπως αυτές που πραγματοποιούν οι hackers μέσω αρχείων Microsoft OneNote, απαιτεί μια πολυεπίπεδη προσέγγιση. Πρώτον, είναι σημαντικό να διατηρούμε το λογισμικό και το λειτουργικό σύστημα των συσκευών μας ενημερωμένο. Δεύτερον, η χρήση ισχυρών, μοναδικών κωδικών πρόσβασης και η συχνή αλλαγή τους, μπορεί να δυσκολέψει τους κυβερνοεπιθέτες. Επίσης, η χρήση διαχείρισης κωδικών πρόσβασης μπορεί να βοηθήσει στη διατήρηση και την οργάνωση ασφαλών κωδικών πρόσβασης. Τρίτον, η εκπαίδευση στην αναγνώριση και την αποφυγή των επιθέσεων phishing είναι ζωτικής σημασίας. Οι επιθέσεις αυτές είναι μια κοινή μέθοδος που χρησιμοποιούν οι κυβερνοεπιθέτες για να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες. Τέλος, η χρήση προστασίας από ιούς, καθώς και η δημιουργία τακτικών αντιγράφων ασφαλείας των δεδομένων, μπορεί να προσφέρει επιπλέον επίπεδα προστασίας.
Πηγή: gbhackers