CryptoCore-hackere målretter mod adgangskodeadministratorkonti

CryptoCore Targets Password Manager Accounts

I går offentliggjorde cybersecurity-selskabet ClearSky en rapport om en hackinggruppe kaldet CryptoCore. Også kendt som Dangerous Password og Leery Turtle er banden angiveligt beliggende i Østeuropa, og dens handlinger er også blevet fulgt af andre sikkerhedsudstyr. ClearSky's eksperter regner imidlertid med, at CryptoCores operationer er meget større end oprindeligt anslået. De tror, at besætningen siden maj 2018 har formået at rake op til 200 millioner dollars i ulovligt overskud. Gårsdagens rapport kaster et lys over, hvordan det lykkedes at gøre det.

Rekognosering

CryptoCores ofre er næsten udelukkende cryptocurrency-børser og virksomheder, der arbejder med dem. Før hackere gennemfører det faktiske angreb, gennemgår hackerne en lang rekognoseringsproces, der består i at identificere de højtstående medarbejdere, som de vil målrette mod, indsamle så meget intelligens om dem som muligt, og i nogle tilfælde kompromittere deres personlige e-mail-konti .

Ifølge ClearSky er angrebene på personlige e-mails lettere at trække af, men vigtigere er, at de giver en fremragende kilde til information og kan hjælpe hackere med at kompromittere målets virksomhedsindbakke. Den egentlige angrebskæde er en blanding af gennemprøvede teknikker og nye, innovative tricks, der, hvis ClearSky's estimater om $ 200 millioner i overskud er korrekte, klart fungerer ret godt.

Den sociale ingeniørarbejde

Angrebet starter med spearphishing-e-mails, der varierer i deres grad af raffinement. I nogle tilfælde er meddelelserne temmelig mistænkelige, og i andre, bar den ulige misplacerede komma, de er næsten perfekte både hvad angår grammatik og social engineering.

I de fleste angreb får cryptocurrency børsens ledere at vide, at de ved at klikke på et link får adgang til et vigtigt arbejdsrelateret dokument. CryptoCore bruger kraftigt domænenavne, der ligner populære online platforme som Google Drive, og i nogle af angrebene bruger hackerne HTML for at skjule de ondsindede URL'er bag legitime udseende links. Hackerne har også brugt URL-afkortningstjenester ikke kun fordi de kunne hjælpe dem med at undgå opdagelse, men også fordi de giver dem en idé om, hvor mange ofre der falder for ordningen.

Mål, der klikker gennem, henter et arkiv med to filer. Den første er en adgangskodebeskyttet PDF-, DOCX- eller XLSX-fil, der angiveligt er det arbejdsrelaterede dokument, der er nævnt i mængden af e-mailen. Offeret ledes til at tro, at adgangskoden, der låser det op, er gemt i "password.txt" - den anden fil i arkivet.

De mere observante modtagere bemærker dog muligvis, at filen password.txt faktisk har en dobbeltudvidelse. Dets fulde navn er "password.txt.lnk," og det er her, det egentlige angreb starter.

Angrebet

LNK-filer er almindelige Windows-genveje, og de er også blevet brugt af andre cyberkriminelle bander. CryptoCores LNK-fil linker til et stykke ondsindet VBS-kode, der opretter forbindelse til Command and Control-serveren (C&C) og fortsætter til det næste trin i angrebet. For at sikre, at offeret ikke er klokere, downloader scriptet og åbner en TXT-fil, der indeholder, hvad der ligner det lovede kodeord.

I baggrunden downloader og gemmer det imidlertid nyttelasten i mappen% temp% og placerer en anden VBS-fil i startkataloget for at sikre, at malware starter, når pc'en starter op.

Kuppet

Som vi allerede nævnte, er CryptoCores angreb rettet mod nøglemedarbejdere i cryptocurrency-udvekslinger, hvilket betyder, at regelmæssige brugere sandsynligvis ikke vil blive påvirket af netop denne kampagne. Dette betyder dog ikke, at folk ikke skal være opmærksomme på det.

ClearSky's eksperter navngav ikke de specifikke værktøjer, der blev brugt i CryptoCores angreb, men de sagde dog, at cyberkriminelle går efter ofrenes konti for administratoradgangskoder. Derinde finder hackerne de oplysninger, de har brug for for at omdirigere millioner af digitale mønter værdifulde fra børsens aktive tegnebøger til adresser, der kontrolleres af dem.

De faktiske mekanismer til at bryde ind forbliver ukendte, og der er ingen oplysninger om, hvorvidt specifikke adgangskodeadministrationsprogrammer er målrettet. Den stjålne cryptocurrency beviser dog, at angrebene har været vellykkede, hvilket kan give anledning til mistanke overfor passwordadministratorer hos nogle brugere. Det ville være helt uberettiget.

Adgangskodeadministratorer er de bedste værktøjer til organisering og lagring af login-data, og der bør ikke være nogen tvivl om dette i nogensinde. Desværre kan selv en passwordadministrators forsvar blive svækket af dårlig cybersikkerhedshygiejne fra brugerens side. Folk er nødt til at huske, at deres hovedadgangskode skal være stærk, lang og helt afgørende unik, og de skal drage fordel af yderligere sikkerhedsfunktioner som tofaktorautentisering, som nogle adgangskodeadministratorer tilbyder. Vi har muligvis ikke de tekniske detaljer omkring CryptoCores angreb, men vi ved, at de alle er afhængige af, at brugeren også klikker på et link i en e-mail, hvilket viser at det er på høje tid, at alle begynder at behandle meddelelserne i deres indbakke med en sund dosis af mistanke.

June 25, 2020

Efterlad et Svar