Duizenden mensen die bij overheidsinstanties en ngo's werken zijn het doelwit van een geraffineerde spearphishingcampagne geworden, zo stellen de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Eerder liet Microsoft weten dat deze campagne het werk is door de groep achter de SolarWinds-aanval, maar dat hebben de FBI en het CISA nog niet bevestigd.
Bij de aanval waar de Amerikaanse overheidsinstanties voor waarschuwen wisten aanvallers toegang te krijgen tot het Constant Contact-account van USAID, de ontwikkelingsorganisatie van de Amerikaanse overheid. Constant Contact is een dienst die voor e-mailmarketing wordt gebruikt. Via het gecompromitteerde account verstuurden de aanvallers vervolgens phishingmails die van USAID afkomstig leken.
De e-mails bevatten een legitieme Constant Contact-link die weer wijst naar een kwaadaardig ISO-bestand. Dit ISO-bestand bevat zowel malware als een PDF-document dat als afleidingsmanoeuvre dient. Volgens de FBI en het CISA zijn bij de recente campagne meer dan 7.000 accounts van meer dan 350 overheidsorganisaties en ngo's aangevallen.
In de waarschuwing geven de FBI en het CISA verschillende Indicators of Compromise (IOCs) en andere technische informatie. Een IOC is een aanwijzing waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, binnen het netwerk kan worden vastgesteld. Het gaat onder andere om url's, domeinnamen en ip-adressen.
Afsluitend worden organisaties die zich met internationale zaken bezighouden aangeraden om hun bewustzijn te vergroten en aanbevolen beveiligingsmaatregelen te volgen, waaronder het implementeren van trainingsprogramma's, het beperken van beheerdersaccounts en het uitrollen van signatures om verbindingen met Cobalt Strike-servers en andere post-exploitation tools te blokkeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.