image

Microsoft ontdekt phishingaanvallen door groep achter SolarWinds-backdoor

vrijdag 28 mei 2021, 10:19 door Redactie, 0 reacties

Microsoft heeft meerdere phishingaanvallen ontdekt die volgens het techbedrijf zijn uitgevoerd door de groep aanvallers achter de SolarWinds-backdoor. De aanvallen, waarbij ook gebruik werd gemaakt van een iOS-lek, waren gericht tegen zo'n drieduizend individuele e-mailaccounts van personen in meer dan honderdvijftig organisaties in tenminste 24 landen. De aangevallen organisaties houden zich bezig met onder andere internationale ontwikkeling en mensenrechten.

In de eerste maanden van dit jaar voerden de aanvallers verschillende phishingaanvallen uit waarbij e-mails werden gebruikt die waren voorzien een HTML-bestand. Wanneer de gebruiker het bestand opende werd door middel van JavaScript in het HTML-bestand een ISO-bestand naar de computer geschreven en de gebruiker aangemoedigd om het bestand te openen. Wanneer geopend werd er een lnk-bestand uitgevoerd dat de Cobalt Strike Beacon op het systeem uitvoerde. Dit is een remote access tool die aanvallers gebruiken om zich lateraal door een omgeving te bewegen.

De aanvallers pasten hun tactieken ook aan. Zo werd er ook gebruikgemaakt van een HTML-bestand dat direct naar een ISO-bestand wees dat weer was voorzien van een RTF-document dat Cobalt Strike Beacon uitvoerde. Bij andere phishingaanvallen werd er alleen een link gebruikt die naar een website wees die zich voordeed als een site van de aangevallen organisatie. Vervolgens werd op deze site het ISO-bestand aangeboden.

Microsoft zag dat de aanvallers ook gebruikmaakten van een kwetsbaarheid in iOS. Wanneer slachtoffers de link in de e-mail openden en werden doorgestuurd naar de server van de aanvallers, keek die of het om een iOS-apparaat ging. Was dit het geval, dan werd de gebruiker doorgestuurd naar een andere server die misbruik maakte van iOS-kwetsbaarheid CVE-2021-1879. Op het moment dat Apple dit zerodaylek dichtte werd het al aangevallen.

Bij de laatste aanval die op 25 mei door Microsoft werd waargenomen wisten de aanvallers toegang te krijgen tot het Constant Contact-account van USAID, de ontwikkelingsorganisatie van de Amerikaanse overheid. Constant Contact is een dienst die voor e-mailmarketing wordt gebruikt. Via het gecompromitteerde account verstuurden de aanvallers vervolgens phishingmails die van USAID afkomstig leken.

Wanneer gebruikers op de link in de e-mail klikten werden ze doorgestuurd naar de legitieme Constant Contact-service, Daarvandaan werden ze weer doorgestuurd naar een server van de aanvallers die een ISO-bestand op het systeem plaatste. Gebruikers moesten het bestand nog steeds zelf openen om besmet te raken. Microsofts Tom Burt stelt dat de aanvallen laten zien dat er regels moeten komen waarin staat hoe landen zich in cyberspace moeten gedragen en wat de gevolgen zijn wanneer die regels worden overtreden.

Image

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.