CryptoCore Hackers Target Password Manager-accounts
Gisteren publiceerde cybersecuritybedrijf ClearSky een rapport over een hackgroep genaamd CryptoCore. De bende, ook bekend als Dangerous Password en Leery Turtle, zou zich in Oost-Europa bevinden en haar acties zijn ook gevolgd door andere beveiligingsoutfits. De experts van ClearSky denken echter dat de operaties van CryptoCore veel groter zijn dan aanvankelijk werd geschat. Ze denken dat de bemanning sinds mei 2018 erin geslaagd is om maar liefst $ 200 miljoen aan illegale winsten binnen te halen. Het rapport van gisteren werpt enig licht op hoe het is gelukt.
Table of Contents
De verkenning
De slachtoffers van CryptoCore zijn bijna uitsluitend cryptocurrency-uitwisselingen en bedrijven die met hen samenwerken. Voordat de hackers de daadwerkelijke aanval uitvoeren, doorlopen ze een lang verkenningsproces, dat bestaat uit het identificeren van de hooggeplaatste werknemers die ze zullen aanvallen, het verzamelen van zoveel mogelijk informatie over hen en, in sommige gevallen, het compromitteren van hun persoonlijke e-mailaccounts .
Volgens ClearSky zijn de aanvallen op persoonlijke e-mails gemakkelijker af te ronden, maar wat nog belangrijker is, ze bieden een uitstekende informatiebron en kunnen hackers helpen de zakelijke inbox van het doelwit in gevaar te brengen. De eigenlijke aanvalsketen is een mix van bewezen technieken en nieuwe, innovatieve trucs die, als ClearSky's schattingen van de winst van $ 200 miljoen correct zijn, duidelijk redelijk goed werken.
De social engineering
De aanvallen beginnen met spearphishing-e-mails die variëren in mate van verfijning. In sommige gevallen zien de berichten er nogal verdacht uit, en in andere, afgezien van de vreemde, misplaatste komma, zijn ze bijna perfect, zowel qua grammatica als social engineering.
Bij de meeste aanvallen krijgen de leidinggevenden van de cryptocurrency exchange te horen dat ze door op een link te klikken toegang krijgen tot een belangrijk werkgerelateerd document. CryptoCore maakt veel gebruik van domeinnamen die lijken op populaire online platforms zoals Google Drive, en bij sommige aanvallen gebruiken de hackers HTML om de kwaadaardige URL's achter legitiem ogende links te verbergen. De hackers hebben ook URL-verkortingsdiensten gebruikt, niet alleen omdat ze hen konden helpen detectie te omzeilen, maar ook omdat ze hen een idee gaven van hoeveel slachtoffers voor de regeling vallen.
Doelen die doorklikken, downloaden een archief met twee bestanden. De eerste is een met een wachtwoord beveiligd PDF-, DOCX- of XLSX-bestand dat zogenaamd het werkgerelateerde document is dat in de hoofdtekst van de e-mail wordt genoemd. Het slachtoffer wordt ertoe gebracht te geloven dat het wachtwoord dat het ontgrendelt, is opgeslagen in "wachtwoord.txt" - het tweede bestand in het archief.
De meer oplettende ontvangers zullen echter merken dat het wachtwoord.txt-bestand eigenlijk een dubbele extensie heeft. De volledige naam is "wachtwoord.txt.lnk" en hier begint de daadwerkelijke aanval.
De aanval
LNK-bestanden zijn reguliere Windows-snelkoppelingen en ze zijn ook gebruikt door andere cybercriminele bendes. Het LNK-bestand van CryptoCore linkt naar een stuk kwaadaardige VBS-code dat verbinding maakt met de Command and Control-server (C&C) en doorgaat naar de volgende fase van de aanval. Om ervoor te zorgen dat het slachtoffer niet wijzer is, downloadt het script en opent het een TXT-bestand dat lijkt op het beloofde wachtwoord.
Op de achtergrond downloadt en slaat het echter de payload op in de map% temp% en plaatst het een ander VBS-bestand in de opstartmap om ervoor te zorgen dat de malware start wanneer de pc opstart.
De overval
Zoals we al vermeldden, richten de aanvallen van CryptoCore zich op sleutelmedewerkers van cryptocurrency-uitwisselingen, wat betekent dat het onwaarschijnlijk is dat reguliere gebruikers worden beïnvloed door deze specifieke campagne. Dit betekent echter niet dat mensen er geen aandacht aan moeten besteden.
De experts van ClearSky noemden niet de specifieke tools die worden gebruikt bij de aanvallen van CryptoCore, maar ze zeiden wel dat de cybercriminelen achter de wachtwoordbeheerderaccounts van slachtoffers aan gaan. Daarin vinden de hackers de informatie die ze nodig hebben om miljoenen digitale munten van de actieve portemonnees van de centrale om te leiden naar door hen beheerde adressen.
De daadwerkelijke mechanismen van inbraak blijven onbekend, en er is geen informatie over of specifieke toepassingen voor wachtwoordbeheer zijn gericht. De gestolen cryptocurrency bewijst echter dat de aanvallen succesvol waren, wat bij sommige gebruikers de verdenking jegens wachtwoordmanagers zou kunnen wekken. Het zou volkomen onterecht zijn.
Wachtwoordmanagers zijn de beste tools voor het organiseren en opslaan van inloggegevens, en daar mag niemand aan twijfelen. Helaas kan zelfs de verdediging van een wachtwoordbeheerder worden verzwakt door een slechte cybersecurity-hygiëne van de kant van de gebruiker. Mensen moeten onthouden dat hun hoofdwachtwoord sterk, lang en, cruciaal, uniek moet zijn, en ze moeten profiteren van aanvullende beveiligingsfuncties zoals tweefactorauthenticatie die sommige wachtwoordmanagers bieden. We hebben misschien niet de technische details over de aanvallen van CryptoCore, maar we weten wel dat ze allemaal afhankelijk zijn van het feit dat de gebruiker ook op een link in een e-mail klikt, wat aantoont dat het hoog tijd wordt dat iedereen de berichten in hun inbox begint te behandelen met een gezonde dosis wantrouwen.
