El robo de credenciales de la aerolínea despega en una campaña de expansión - Calendae | Informática, Electrónica, CMS, Ciberseguridad

El robo de credenciales de la aerolínea despega en una campaña de expansión

Hola, ¿qué tal colega?. Te habla Eduardo Arroyo y en el día de hoy hablaremos sobre El robo de credenciales de la aerolínea despega en una campaña de expansión

El robo de credenciales de la aerolínea despega en una campaña de expansión

Un intento de software espía para robar cookies e inicios de sesión está dirigido por atacantes poco sofisticados que se aprovechan del auge de los corredores de inicios de sesión tempranos.

Se está llevando a cabo una campaña de espionaje de dos años contra la industria de las aerolíneas, con AsyncRAT y otros troyanos de acceso remoto (RAT) ayudando a que estos esfuerzos despeguen. La campaña en realidad puede ser un ataque de pájaro para el motor corporativo, por así decirlo, lo que resultará en robo de datos, fraude financiero o ataques posteriores, dijeron los investigadores, que han descubierto nuevos detalles sobre los autores.

Según Tiago Pereira y Vitor Ventura de Cisco Talos, «Operation Layover» es probablemente el trabajo de un actor de amenazas poco sofisticado con sede en Nigeria que ha estado activo en la escena del ciberdelito durante al menos seis años en varias campañas multisectoriales.

«[The attacker] no parece ser técnicamente sofisticado, ya que utiliza malware estándar desde el inicio de sus actividades sin desarrollar su propio malware «, señalaron los investigadores en un Publicación del jueves. «El actor también compra cripters que permiten el uso de este malware sin ser detectado, [and] A lo largo de los años ha utilizado varios cifradores, la mayoría comprados en foros Online … Esto demuestra que una pequeña operación puede pasar desapercibida durante años, sin dejar de causar serios problemas a sus objetivos.

El objetivo era robar credenciales y cookies, que el atacante puede ofrecer a los ciberdelincuentes más expertos en tecnología, dijeron los investigadores. Estos cazadores de caza mayor los usan para el acceso inicial en ataques mucho más grandes que involucran ransomware o ataques de compromiso de correo electrónico corporativo (BEC), agregaron.

Y, de hecho, el mercado cibernético clandestino de corredores de acceso temprano (IAB) está en auge en todos los aspectos. Según Stefano De Blasi, un analista de inteligencia de amenazas cibernéticas, el negocio de recopilar acceso a organizaciones vulnerables y luego venderlas al mejor postor en la Dark Web está aumentando a medida que el ransomware como servicio ha ganado popularidad. a Sombras digitales.

«Los IAB han logrado un nivel significativo de éxito y notoriedad en los últimos 18-24 meses, dado el auge paralelo del modelo RaaS», dijo a Threatpost. «En este entorno, los IAB brindan a los actores de ransomware un grupo aparentemente infinito de víctimas que ya están comprometidas y, por lo tanto, simplemente requieren afiliados de ransomware para distribuir el malware».

Este mercado indica símbolos de dólar (o quizás símbolos de Bitcoin) para ciberdelincuentes de nivel inferior.

«El mercado negro de cookies web, tokens y credenciales válidas es demasiado valioso en comparación con la economía de sus países de origen para detenerse», señalaron los investigadores de Cisco Talos. «Estos son los actores que alimentan el mercado clandestino de credenciales y cookies, que luego pueden ser utilizadas por grupos más grandes».

Agregaron: “Este tipo de operaciones pequeñas tienden a pasar desapercibidas e incluso después de la exposición, los actores detrás de ellas no detienen su negocio. Abandonan los nombres de host de comando y control (C2), que en este caso están basados ​​en DNS gratuitos y pueden cambiar el criptador y el vector iniciales, pero no detendrán su actividad.

Los ataques, como muchas campañas de malware, comienzan con correos electrónicos de ingeniería social, según Pereira y Ventura. El atacante envía correos electrónicos a los objetivos, que suplantan a las organizaciones aeroespaciales legítimas. Afirman tener un enlace a un archivo PDF; los «archivos» contienen nombres relacionados con los viajes aéreos, que se refieren a cosas como «detalles del itinerario de viaje» y «bombardero».

En realidad, los enlaces envían a los usuarios a un script .VBS alojado en Google Drive, que cifra la carga útil final de RAT y la libera en la computadora de la víctima. El guión es el cifrador Snip3, que permanece en desarrollo activo y se ofrece como un cifrador como servicio, según búsqueda anterior por Morphisec.

Vale la pena señalar que Microsoft informó partes de la campaña en mayo, ofreciendo algunos detalles técnicos adicionales sobre la cadena de infección.

«Los atacantes utilizan troyanos de acceso remoto para el robo de datos, actividades de seguimiento y cargas útiles adicionales, incluido el Agente Tesla, que utilizan para la exfiltración de datos», tuiteó el gigante tecnológico. “Los troyanos vuelven a ejecutar componentes continuamente hasta que pueden inyectarlos en procesos como RegAsm, InstallUtil o RevSvcs. Roban credenciales, pantallas y datos de cámaras web, datos del navegador y del portapapeles, sistema y red y, a menudo, extraen datos a través del puerto SMTP 587.

Mientras tanto, el equipo de investigación de Cisco Talos ha descubierto algunos dominios controlados por atacantes utilizados para comando y control (C2) para el esfuerzo aéreo, incluido akconsult[.]linkpc[.]net, que se utiliza para alojar la carga útil AsyncRAT. Debido a que ese servidor usó TLS para cifrar las comunicaciones C2, los investigadores luego buscaron otros servidores usando la misma huella digital del certificado y descubrieron otros ocho dominios vinculados a la campaña, junto con más de 50 muestras de malware individuales.

«La mayoría de los dominios se vieron por primera vez en mayo o junio de 2021», explicaron Pereira y Ventura. “El más antiguo de la lista parecía estar activo solo durante un par de días, sin que muchos campeones lo usaran. Sin embargo, la URL era[.]ddns[.]net siempre estuvo activo con varias muestras usándolo como C2. Continuaron vinculándolo con 14 archivos de cifrado VBS maliciosos utilizados en la campaña de la fuerza aérea.

Los investigadores también hicieron un esfuerzo por ver qué otros detalles podrían revelar sobre el autor de la amenaza.

Por ejemplo, usando telemetría DNS pasiva, Pereira y Ventura compilaron la lista de IPs utilizadas por el dominio akconsult[.]linkpc[.]neto. Los resultados muestran que alrededor del 73% de los PI tenían su sede en Nigeria.

También realizaron búsquedas con la palabra clave «akconsult» en «Esta búsqueda reveló una muestra de malware y un nombre de usuario [“Akconsult”] mencionado en el sitio de hackingforum[.]net «, dijeron.» Una búsqueda en este foro reveló varios indicadores del actor [identity]. «

Por ejemplo, en las interacciones del foro, el usuario vinculó una dirección de correo electrónico: kimjoy44 @ yahoo[.]com – y una cuenta de Telegram – @pablohop, ambos luego vinculados a la campaña con temática de aviación. En Skype, el correo electrónico del autor de la amenaza está asociado con el nombre de usuario «abudulakeem123».

Los investigadores también pudieron vincular algunas de las primeras campañas (a partir de 2013) a la palabra clave akconsult y de allí a otro identificador, «Nassief2018», que se encuentra en otro foro de piratería popular.

Otros investigadores encontraron más información sobre los atacantes:

Chico nigeriano.
su nombre: «Samuel Eyiba»
Número de teléfono utilizado: +2349010725503
EML: kim.joy001@gmail.com
EML2: kimjoy44@yahoo.com

cuenta cancelada: kimjoy
cuenta crypters: kimjoy
hackforum de cuenta: Nassief2018
Cuenta PerfectMoney: 8547265

– .sS.! (@ sS55752750) 14 de mayo de 2021

«Parte de esta información coincide con lo que encontramos en nuestra investigación, otras son completamente nuevas y no hemos podido confirmar las afirmaciones de este usuario de Twitter», escribieron Pereira y Ventura.

John Bambenek, el principal cazador de amenazas de Netenrich, señaló que este tipo de búsqueda de ruta de navegación puede ofrecer una imagen bastante completa de un adversario a lo largo del tiempo.

«Cuanto más tiempo opera un oponente, es más probable que deje suficientes huellas dactilares para llevar a una atribución precisa», dijo a Threatpost. “Cada ataque tiene una amplia gama de metadatos que, en sí mismos, pueden no tener sentido, pero la correlación de esos metadatos puede conducir a correlaciones y a conocer mucho más sobre los atacantes. La clave para los analistas de inteligencia es extraer todos los metadatos y atributos de esos ataques y archivarlos durante largos períodos de tiempo para que puedan identificar esos patrones a largo plazo «.

A pesar de la relativa falta de sofisticación y perspicacia tecnológica de los atacantes, representan una seria amenaza para las organizaciones, concluyó el análisis de Cisco Talos.

«Muchos actores pueden tener conocimientos técnicos limitados, pero aún pueden usar RAT o ladrones de información, lo que representa un riesgo significativo para las grandes empresas en las condiciones adecuadas», dijeron los investigadores. «En este caso, hemos demostrado que lo que parecía una campaña simple es, en realidad, una operación continua que se ha estado ejecutando durante tres años, dirigida a toda una industria con malware estándar disfrazado de múltiples criptadores».

Y aunque las cookies y las credenciales pueden ser la principal «obtención» por ahora, existe la oportunidad de peores ataques en el futuro, según Jake Williams, cofundador y CTO de BreachQuest.

«La industria de viajes siempre será un objetivo atractivo para los actores de amenazas», dijo a Threatpost. “Muchos países operan aerolíneas nacionalizadas y pueden beneficiarse de los datos operativos internos, aprendiendo eficazmente de los errores de sus competidores. Pero la información realmente jugosa son los horarios y los patrones de viaje de las personas «.

Añadió: “Esta información es útil en sí misma, pero es particularmente intrigante cuando se combina con datos externos sobre individuos, como datos adquiridos a través de violaciones de la Oficina de Administración de Personal, Equifax u organizaciones de seguros de salud. Esto le da al actor de amenazas una idea de los patrones de viaje de las personas de interés, lo que casi con certeza les ofrecerá oportunidades de contrainteligencia «.

Ninguna solución de ciberseguridad es viable si no tiene los conceptos básicos. Profesionales de seguridad de Threatpost y Linux en Uptycs para un panel de discusión EN VIVO sobre. ¡Su principal punto de partida será una hoja de ruta de Linux para obtener las bases correctas! y únete al. Junto a Threatpost están Ben Montour y Rishi Kant de Uptycs, quienes lo guiarán a través de las mejores prácticas de seguridad de Linux y responderán sus preguntas más urgentes en tiempo real.

.

Deberías compartir en tu Facebook para que tus amigos lo sepan

??? ? ? ???

Comparte