Νέα phishing καμπάνια καταχράται το νόμιμο εργαλείο NetBird
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Νέα phishing καμπάνια καταχράται το νόμιμο εργαλείο NetBird
https://www.secnews.gr/649855/nea-phishing-kampania-kataxratai-nomimo-ergaleio-nerbird/
Jun 2nd 2025, 12:18
by Digital Fortress
Ερευνητές κυβερνοασφάλειας κρούουν τον κώδωνα του κινδύνου για μια νέα και ιδιαίτερα στοχευμένη καμπάνια phishing, η οποία χρησιμοποιεί το νόμιμο εργαλείο απομακρυσμένης πρόσβασης NetBird για να παρακάμψει παραδοσιακά μέτρα ασφαλείας και να διεισδύσει σε οργανισμούς.
Η επίθεση φαίνεται να εστιάζει σε Chief Financial Officers (CFOs) και υψηλόβαθμα στελέχη οικονομικών τμημάτων τραπεζών, εταιρειών ενέργειας, ασφαλιστικών και επενδυτικών εταιρειών, σε περιοχές που περιλαμβάνουν την Ευρώπη, την Αφρική, τον Καναδά, τη Μέση Ανατολή και τη Νότια Ασία.
Δείτε επίσης: Ransomware ομάδες καταχρώνται το νόμιμο λογισμικό Kickidler
Σύμφωνα με την Trellix, η καμπάνια εντοπίστηκε για πρώτη φορά στα μέσα Μαΐου 2025. Αν και δεν έχει συνδεθεί ακόμη με κάποιο γνωστό threat actor, παρουσιάζει ανησυχητικά επίπεδα πολυπλοκότητας. Όπως εξηγεί η ερευνήτρια Srini Seethapathy, οι επιτιθέμενοι χρησιμοποιούν το NetBird —ένα νόμιμο εργαλείο απομακρυσμένης πρόσβασης— για να αποκτήσουν έλεγχο στο σύστημα των θυμάτων.
Η αρχική επίθεση ξεκινά με phishing email το οποίο προέρχεται, υποτίθεται, από τον υπεύθυνο προσλήψεων της Rothschild & Co., προσφέροντας «στρατηγικές ευκαιρίες». Το email περιλαμβάνει σύνδεσμο που παρουσιάζεται ως συνημμένο PDF, αλλά στην πραγματικότητα ανακατευθύνει σε σελίδα που φιλοξενείται στο Firebase.
Αυτό που διαφοροποιεί τη συγκεκριμένη επίθεση είναι το γεγονός ότι η διεύθυνση URL είναι κρυπτογραφημένη και δεν είναι άμεσα προσβάσιμη. Το θύμα καλείται να περάσει από έλεγχο CAPTCHA, και μόνο τότε αποκαλύπτεται και ενεργοποιείται ο κακόβουλος σύνδεσμος, μέσω αποκρυπτογράφησης JavaScript. Τελικά, γίνεται λήψη ενός ZIP αρχείου.
«Οι κυβερνοεγκληματίες βασίζονται όλο και περισσότερο σε custom CAPTCHA gates για να ξεφεύγουν από τους μηχανισμούς ανίχνευσης, όπως τα Cloudflare Turnstile και Google reCAPTCHA», εξηγεί η Seethapathy.
Δείτε επίσης: Phishing: Hackers καταχρώνται το Google Apps Script
Μαζί με το αρχείο ZIP υπάρχει και ένα Visual Basic Script (VBScript), που ανακτά ένα δεύτερο VBScript από απομακρυσμένο διακομιστή και το εκτελεί μέσω του "wscript.exe". Το νέο αυτό script κατεβάζει ένα άλλο payload, το μετονομάζει σε "trm.zip" και εξάγει δύο αρχεία MSI από αυτό: NetBird και OpenSSH.
Η τελευταία φάση της επίθεσης περιλαμβάνει την εγκατάσταση των δύο εφαρμογών στον μολυσμένο υπολογιστή, τη δημιουργία ενός κρυφού τοπικού λογαριασμού, την ενεργοποίηση remote desktop access και τη ρύθμιση προγραμματισμένων εργασιών που εξασφαλίζουν ότι το NetBird εκτελείται αυτόματα σε κάθε επανεκκίνηση. Παράλληλα, το κακόβουλο λογισμικό αφαιρεί τυχόν εμφανή ίχνη, όπως συντομεύσεις από την επιφάνεια εργασίας, ώστε να μην δημιουργηθούν υποψίες στο θύμα.
Η Trellix εντόπισε επίσης μια δεύτερη ενεργή διεύθυνση URL που διανέμει το ίδιο κακόβουλο VBScript εδώ και σχεδόν έναν χρόνο — μια ένδειξη ότι η καμπάνια ενδέχεται να βρίσκεται σε εξέλιξη πολύ περισσότερο απ' όσο είχε αρχικά εκτιμηθεί.
Το περιστατικό επιβεβαιώνει μια τάση που καταγράφεται το τελευταίο διάστημα: τη χρήση νόμιμων εργαλείων απομακρυσμένης πρόσβασης από κυβερνοεγκληματίες. Εκτός από το NetBird, οι επιτιθέμενοι εκμεταλλεύονται εφαρμογές όπως τα ConnectWise ScreenConnect, Atera, Splashtop, FleetDeck και LogMeIn Resolve, προκειμένου να διατηρούν μόνιμη παρουσία στα δίκτυα των στόχων χωρίς να ανιχνεύονται.
«Δεν πρόκειται για μια απλή υπόθεση phishing», δήλωσε η Srini Seethapathy της Trellix. «Μιλάμε για ένα καλοσχεδιασμένο, στοχευμένο και διακριτικό σενάριο πολλαπλών σταδίων, που συνδυάζει κοινωνική μηχανική με προηγμένες τεχνικές αποφυγής, με σκοπό τη διατήρηση επίμονης πρόσβασης στους στόχους».
Δείτε επίσης: FBI: Προειδοποιεί για phishing επιθέσεις της Silent Ransom Group
Μέτρα προστασίας
Οι υπεύθυνοι ασφάλειας καλούνται να παρακολουθούν στενά όλα τα εργαλεία απομακρυσμένης πρόσβασης που είναι εγκατεστημένα στο δίκτυο του οργανισμού τους, ώστε να διασφαλίζουν ότι χρησιμοποιούνται μόνο εξουσιοδοτημένες λύσεις RMM.
Επιπλέον, η εφαρμογή πολιτικών που περιορίζουν την εκτέλεση μη εγκεκριμένου λογισμικού RMM θεωρείται απαραίτητη, όπως και η υποχρεωτική χρήση ελεγχόμενων μεθόδων απομακρυσμένης πρόσβασης (όπως VPN ή περιβάλλοντα VDI).
Τέλος, για ενίσχυση της προστασίας, συνίσταται ο αποκλεισμός inbound και outbound connections σε standard RMM θύρες και πρωτόκολλα.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Νέα phishing καμπάνια καταχράται το νόμιμο εργαλείο NetBird
https://www.secnews.gr/649855/nea-phishing-kampania-kataxratai-nomimo-ergaleio-nerbird/
Jun 2nd 2025, 12:18
by Digital Fortress
Ερευνητές κυβερνοασφάλειας κρούουν τον κώδωνα του κινδύνου για μια νέα και ιδιαίτερα στοχευμένη καμπάνια phishing, η οποία χρησιμοποιεί το νόμιμο εργαλείο απομακρυσμένης πρόσβασης NetBird για να παρακάμψει παραδοσιακά μέτρα ασφαλείας και να διεισδύσει σε οργανισμούς.
Η επίθεση φαίνεται να εστιάζει σε Chief Financial Officers (CFOs) και υψηλόβαθμα στελέχη οικονομικών τμημάτων τραπεζών, εταιρειών ενέργειας, ασφαλιστικών και επενδυτικών εταιρειών, σε περιοχές που περιλαμβάνουν την Ευρώπη, την Αφρική, τον Καναδά, τη Μέση Ανατολή και τη Νότια Ασία.
Δείτε επίσης: Ransomware ομάδες καταχρώνται το νόμιμο λογισμικό Kickidler
Σύμφωνα με την Trellix, η καμπάνια εντοπίστηκε για πρώτη φορά στα μέσα Μαΐου 2025. Αν και δεν έχει συνδεθεί ακόμη με κάποιο γνωστό threat actor, παρουσιάζει ανησυχητικά επίπεδα πολυπλοκότητας. Όπως εξηγεί η ερευνήτρια Srini Seethapathy, οι επιτιθέμενοι χρησιμοποιούν το NetBird —ένα νόμιμο εργαλείο απομακρυσμένης πρόσβασης— για να αποκτήσουν έλεγχο στο σύστημα των θυμάτων.
Η αρχική επίθεση ξεκινά με phishing email το οποίο προέρχεται, υποτίθεται, από τον υπεύθυνο προσλήψεων της Rothschild & Co., προσφέροντας «στρατηγικές ευκαιρίες». Το email περιλαμβάνει σύνδεσμο που παρουσιάζεται ως συνημμένο PDF, αλλά στην πραγματικότητα ανακατευθύνει σε σελίδα που φιλοξενείται στο Firebase.
Αυτό που διαφοροποιεί τη συγκεκριμένη επίθεση είναι το γεγονός ότι η διεύθυνση URL είναι κρυπτογραφημένη και δεν είναι άμεσα προσβάσιμη. Το θύμα καλείται να περάσει από έλεγχο CAPTCHA, και μόνο τότε αποκαλύπτεται και ενεργοποιείται ο κακόβουλος σύνδεσμος, μέσω αποκρυπτογράφησης JavaScript. Τελικά, γίνεται λήψη ενός ZIP αρχείου.
«Οι κυβερνοεγκληματίες βασίζονται όλο και περισσότερο σε custom CAPTCHA gates για να ξεφεύγουν από τους μηχανισμούς ανίχνευσης, όπως τα Cloudflare Turnstile και Google reCAPTCHA», εξηγεί η Seethapathy.
Δείτε επίσης: Phishing: Hackers καταχρώνται το Google Apps Script
Μαζί με το αρχείο ZIP υπάρχει και ένα Visual Basic Script (VBScript), που ανακτά ένα δεύτερο VBScript από απομακρυσμένο διακομιστή και το εκτελεί μέσω του "wscript.exe". Το νέο αυτό script κατεβάζει ένα άλλο payload, το μετονομάζει σε "trm.zip" και εξάγει δύο αρχεία MSI από αυτό: NetBird και OpenSSH.
Η τελευταία φάση της επίθεσης περιλαμβάνει την εγκατάσταση των δύο εφαρμογών στον μολυσμένο υπολογιστή, τη δημιουργία ενός κρυφού τοπικού λογαριασμού, την ενεργοποίηση remote desktop access και τη ρύθμιση προγραμματισμένων εργασιών που εξασφαλίζουν ότι το NetBird εκτελείται αυτόματα σε κάθε επανεκκίνηση. Παράλληλα, το κακόβουλο λογισμικό αφαιρεί τυχόν εμφανή ίχνη, όπως συντομεύσεις από την επιφάνεια εργασίας, ώστε να μην δημιουργηθούν υποψίες στο θύμα.
Η Trellix εντόπισε επίσης μια δεύτερη ενεργή διεύθυνση URL που διανέμει το ίδιο κακόβουλο VBScript εδώ και σχεδόν έναν χρόνο — μια ένδειξη ότι η καμπάνια ενδέχεται να βρίσκεται σε εξέλιξη πολύ περισσότερο απ' όσο είχε αρχικά εκτιμηθεί.
Το περιστατικό επιβεβαιώνει μια τάση που καταγράφεται το τελευταίο διάστημα: τη χρήση νόμιμων εργαλείων απομακρυσμένης πρόσβασης από κυβερνοεγκληματίες. Εκτός από το NetBird, οι επιτιθέμενοι εκμεταλλεύονται εφαρμογές όπως τα ConnectWise ScreenConnect, Atera, Splashtop, FleetDeck και LogMeIn Resolve, προκειμένου να διατηρούν μόνιμη παρουσία στα δίκτυα των στόχων χωρίς να ανιχνεύονται.
«Δεν πρόκειται για μια απλή υπόθεση phishing», δήλωσε η Srini Seethapathy της Trellix. «Μιλάμε για ένα καλοσχεδιασμένο, στοχευμένο και διακριτικό σενάριο πολλαπλών σταδίων, που συνδυάζει κοινωνική μηχανική με προηγμένες τεχνικές αποφυγής, με σκοπό τη διατήρηση επίμονης πρόσβασης στους στόχους».
Δείτε επίσης: FBI: Προειδοποιεί για phishing επιθέσεις της Silent Ransom Group
Μέτρα προστασίας
Οι υπεύθυνοι ασφάλειας καλούνται να παρακολουθούν στενά όλα τα εργαλεία απομακρυσμένης πρόσβασης που είναι εγκατεστημένα στο δίκτυο του οργανισμού τους, ώστε να διασφαλίζουν ότι χρησιμοποιούνται μόνο εξουσιοδοτημένες λύσεις RMM.
Επιπλέον, η εφαρμογή πολιτικών που περιορίζουν την εκτέλεση μη εγκεκριμένου λογισμικού RMM θεωρείται απαραίτητη, όπως και η υποχρεωτική χρήση ελεγχόμενων μεθόδων απομακρυσμένης πρόσβασης (όπως VPN ή περιβάλλοντα VDI).
Τέλος, για ενίσχυση της προστασίας, συνίσταται ο αποκλεισμός inbound και outbound connections σε standard RMM θύρες και πρωτόκολλα.
Πηγή: thehackernews.com
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz