image

FBI: honderden overheidsinstanties en ngo's doelwit van spearphishing

maandag 31 mei 2021, 10:05 door Redactie, 3 reacties

Duizenden mensen die bij overheidsinstanties en ngo's werken zijn het doelwit van een geraffineerde spearphishingcampagne geworden, zo stellen de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Eerder liet Microsoft weten dat deze campagne het werk is door de groep achter de SolarWinds-aanval, maar dat hebben de FBI en het CISA nog niet bevestigd.

Bij de aanval waar de Amerikaanse overheidsinstanties voor waarschuwen wisten aanvallers toegang te krijgen tot het Constant Contact-account van USAID, de ontwikkelingsorganisatie van de Amerikaanse overheid. Constant Contact is een dienst die voor e-mailmarketing wordt gebruikt. Via het gecompromitteerde account verstuurden de aanvallers vervolgens phishingmails die van USAID afkomstig leken.

De e-mails bevatten een legitieme Constant Contact-link die weer wijst naar een kwaadaardig ISO-bestand. Dit ISO-bestand bevat zowel malware als een PDF-document dat als afleidingsmanoeuvre dient. Volgens de FBI en het CISA zijn bij de recente campagne meer dan 7.000 accounts van meer dan 350 overheidsorganisaties en ngo's aangevallen.

In de waarschuwing geven de FBI en het CISA verschillende Indicators of Compromise (IOCs) en andere technische informatie. Een IOC is een aanwijzing waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, binnen het netwerk kan worden vastgesteld. Het gaat onder andere om url's, domeinnamen en ip-adressen.

Afsluitend worden organisaties die zich met internationale zaken bezighouden aangeraden om hun bewustzijn te vergroten en aanbevolen beveiligingsmaatregelen te volgen, waaronder het implementeren van trainingsprogramma's, het beperken van beheerdersaccounts en het uitrollen van signatures om verbindingen met Cobalt Strike-servers en andere post-exploitation tools te blokkeren.

Reacties (3)
31-05-2021, 11:20 door Anoniem
Waarom horen we toch nooit dat er Russische of Chinese diensten gehackt zijn?
Het klikken op links moet ophouden of ze moeten gefiltered zijn via een DMZ door de admins.
Bring your own device, ook zo'n inkoppertje.

#sockpuppet
31-05-2021, 11:41 door Anoniem
Het grote probleem blijft natuurlijk dat alles maar aan het internet moet hangen. 'Want dat is zo makkelijk'.

Les 1 uit beveiliging: maak het aantal aanvalsvectoren zo klein mogelijk... Niet dat een airgap alles voorkomt, maar snuffelen in een papieren dossierkast is toch een ander kaliber dan vanaf je kantoor geautomatiseerd snuffelen in een online database. Om maar een klein voorbeeld te noemen.
31-05-2021, 15:51 door Anoniem
Door Anoniem: Waarom horen we toch nooit dat er Russische of Chinese diensten gehackt zijn?
Het klikken op links moet ophouden of ze moeten gefiltered zijn via een DMZ door de admins.
Bring your own device, ook zo'n inkoppertje.

#sockpuppet

Misschien moet je eens ergens gaan werken, om te leren wat er kan (of niet kan) in organisaties.

Voor wat betreft het terughacken : je hoort (wel eens) de claims daarover .
Zie bv https://www.security.nl/posting/547478/Volkskrant%3A+AIVD+keek+mee+met+Russische+hackersgroep

Het zure van inlichtingwerk is dat je feitelijk nooit - of pas ver achteraf - je succes mag claimen .
Het is erg onverstandig om de tegenstander te vertellen die ie wat gemist heeft , want dan word je natuurlijk subiet afgesloten.
Ook als je dan betrapt bent wil je bij voorkeur onduidelijk houden hoe en sinds hoelang - zodat de tegenstander niet zeker weet wat / via wie er dan gelekt kan zijn.

Wat dat betreft is die claim _over_ de AIVD hack opmerkelijk - je vraagt je af of die Amerikaan die het vertelde gewoon andermans werk vernaggelt om even wat te scoren - of dat alles wat verteld is inmiddels al door de Russen ontdekt was.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.