Новости COLDRIVER: кто стоит за крупнейшей кибератакой на почтовые сервисы?

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
США и Великобритания предлагают $10 миллионов за любую информацию об участниках группировки.


z3mh0835bu8sxrau2nltwxr5fe6yo79h.jpg


Киберпреступная группировка COLDRIVER продолжает активно заниматься кражей учётных данных у организаций из самых разных отраслей, сообщает команда Microsoft .

Группировка действует с 2017 года и специализируется на создании фишинговых сайтов, имитирующих страницы входа в почтовые сервисы и другие системы. Когда пользователь вводит там свои логин и пароль, злоумышленники их перехватывают и используют для доступа к личным данным и корпоративным системам.

Microsoft заявила, что наблюдала, как злоумышленники используют серверные скрипты для предотвращения автоматического сканирования инфраструктуры, контролируемой участниками, начиная с апреля 2023 года, отходя от hCaptcha для определения интересующих целей и перенаправляя сеанс просмотра на сервер Evilginx .

Таким образом злоумышленники маскируют свою инфраструктуру от автоматического анализа и сосредотачивают усилия на реальных пользователях. Кроме того, для рассылки фишинговых писем, ведущих на замаскированную страницу сбора учётных данных, стала применяться email-маркетинговая платформа HubSpot .

Чтобы затруднить автоматический анализ вредоносных доменов, группировка стала использовать случайные словосочетания при их регистрации. Фишинговые ссылки обычно также маскируются в защищённых паролем PDF-файлах, размещённых в облачном хранилище Proton Drive .

Несмотря на эти уловки, основная цель COLDRIVER не меняется — кража учётных данных для доступа к корпоративной и личной электронной почте, а также загруженным туда файлам.

В связи с продолжающейся злонамеренной деятельностью COLDRIVER правительства Великобритании и США даже ввели персональные санкции против нескольких предполагаемых участников группировки, а за информацию о других членах COLDRIVER и их текущей активности объявлено вознаграждение в 10 миллионов долларов в рамках программы «Rewards for Justice» .

Несмотря на предпринимаемые меры, COLDRIVER продолжает активно использовать всё более изощрённые методы для кражи личных данных. Компании и рядовым пользователям следует проявлять повышенную бдительность в отношении фишинговых писем и подозрительных сайтов.
 
Источник новости
www.securitylab.ru

Похожие темы