Министерството на правосъдието конфискува домейни, използвани в фишинг кампанията на Nobelium-USAID

Министерството на правосъдието на САЩ обяви във вторник, че има иззе два домейна за управление и контрол и разпространение на зловреден софтуер които бяха използвани като част от скорошна фишинг атака идентифицирани от Microsoft миналата седмица.

Установено е, че Nobelium, група, която Microsoft и CISA стои зад мащабната атака SolarWinds, управлява широко разпространена злонамерена кампания за електронна поща, която използва акаунта на Агенцията за международно развитие на САЩ (USAID) в услугата за масово изпращане на имейли Constant Contact за изпращане на заразени имейли до хиляди на получателите.

Както Microsoft, така и CISA пуснаха сигнали за атаката и Washington Post както и Ню Йорк Таймс съобщиха, че са отворени малко, ако има такива, злонамерени имейли.

Но министерството на правосъдието заяви във вторник, че отнемането на двата домейна “има за цел да наруши последващата експлоатация на жертвите на злонамерени актьори, както и да идентифицира компрометирани жертви”.

„Актьорите може да са използвали допълнителни задкулисни достъпи между времето на първоначалните компромиси и конфискациите миналата седмица“, се казва в правителственото изявление.

Първоначалната атака се смяташе, че произхожда от руската Служба за външно разузнаване и е насочена към правителствени и неправителствени организации, фокусирани върху европейската политика. Изпълняващият длъжността американски адвокат Радж Парех заяви, че атаката с фишинг фишинг може да причини “широко разпространени щети в засегнатите компютърни мрежи и може да доведе до значителни щети на нищо неподозиращите отделни жертви, правителствени агенции, неправителствени организации и частен бизнес”.

Брайън Ворндран, помощник-директор на кибердивизията на ФБР, добави, че те са ангажирани да работят с местни и международни партньори за прекъсване на атаките, насочени към правителствени агенции.

“Ще продължим да използваме всички инструменти в нашата лента с инструменти и ще използваме нашите вътрешни и международни партньорства, за да не само нарушим този вид хакерска дейност, но и да наложим рискове и последици на нашите противници за борба с тези заплахи”, каза Ворндран.

Над 3000 души бяха насочени към компрометирания акаунт на USAID, а изпратените имейли включваха „специални сигнали“ и други усилия, за да накарат хората да ги отворят или да изтеглят онова, което е вътре.

Някои от жертвите на атаките са критични към руското правителство, докато други участват в международното развитие, хуманитарната дейност и работата по правата на човека в цяла Европа и САЩ.

Имейлите имаха хипервръзка, която изтегляше злонамерен софтуер от поддомейн на themardservice[.]com, а оттам хората, които стоят зад атаката, биха могли да изтеглят “инструмента Cobalt Strike, за да поддържат постоянно присъствие и евентуално да разполагат допълнителни инструменти или зловреден софтуер в мрежата на жертвата”, според Министерството на правосъдието.

“Екземплярът на актьорите за инструмента Cobalt Strike получи комуникация C2 чрез други поддомейни на[.]com, както и домейн worldhomeoutlet[.]com. Именно тези два домейна са отнети от Министерството съгласно заповедта за конфискация на съда “, се казва в изявлението.

Експерти по киберсигурност като съветника за разузнаване на заплахите Netenrich Джон Бамбенек каза, че новостта в действията на Министерството на правосъдието е, че те са използвали правния процес, за да отнемат сравнително бързо домейни и да защитят собствените си интереси по пряк начин.

“Ако правителствата могат да започнат да правят това бързо, не само по отношение на заплахите за APT, но и по конвенционалната киберпрестъпност, можем да имаме по-голям разрушителен ефект върху киберпрестъпността”, каза Бамбенек.

Ханк Шлес, старши мениджър на решения за сигурност в Lookout, каза, че чрез изземване на домейни и сървъри за командване и контрол, използвани във фишинг кампании, изследователите могат да получат насоки за това кой ръководи кампанията и къде другаде биха могли да извършват нечиста дейност.

“Повечето участници в заплахите вероятно имат резервни копия на своите злонамерени кампании и могат да разпространяват нови версии на една и съща активност на различни домейни и сървъри. Повторното използване на същата кампания обаче означава, че тя вероятно ще притежава идентифицируеми евристики или характеристики в бъдеще”, обясни Шлес към ZDNet.

Той отбеляза, че изземването на наскоро използвани домейни и сървъри за командване и управление спомага за проактивно проучване на заплахите и спомага за намаляване на риска от подобни атаки в бъдеще.

Чрез натрупване на значителна партида информация за заплахите наборите данни могат да растат и да могат да бъдат идентифицирани повече заплахи, което позволява създаването на инструменти за машинно обучение, които помагат за автоматичното откриване и осъждане на злонамерени фишинг кампании и участници, каза Шлес.

„Тъй като нападателите често използват битове и парчета от предишен зловреден софтуер или дори тактики за именуване в своите кампании, достатъчно голям набор от данни ще може да идентифицира и защитава както от известни, така и от неизвестни заплахи, преди да достигнат някакъв огромен мащаб“, каза той пред ZDNet.

„Обнадеждаващо е да видим, че Министерството на правосъдието предприема стъпки, които биха могли да възпрепятстват актьорите на заплахата да се насочат по-специално към федералните агенции на САЩ“

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com