Lopende campagne bombardeert bedrijven met spam-e-mails en -telefoongesprekken

Onderzoekers op het gebied van cyberbeveiliging hebben een voortdurende social engineering-campagne ontdekt die bedrijven bestookt met spam-e-mails met als doel initiële toegang tot hun omgevingen te verkrijgen voor vervolgexploitatie.

“Het incident houdt in dat een bedreigingsacteur de e-mail van een gebruiker overspoelt met rommel en de gebruiker belt om hulp te bieden”, aldus Rapid7-onderzoekers Tyler McGraw, Thomas Elkins en Evan McCann.

“De dreigingsactor heeft getroffen gebruikers ertoe aangezet software voor monitoring en beheer op afstand, zoals AnyDesk, te downloaden of de ingebouwde Quick Assist-functie van Microsoft te gebruiken om een ​​externe verbinding tot stand te brengen.”

De nieuwe campagne zou sinds eind april 2024 aan de gang zijn, waarbij de e-mails voornamelijk bestaan ​​uit bevestigingsberichten voor aanmelding voor de nieuwsbrief van legitieme organisaties, met als doel oplossingen voor e-mailbeveiliging te overweldigen.

De getroffen gebruikers worden vervolgens telefonisch benaderd door zich voor te doen als het IT-team van het bedrijf en hen te misleiden om externe desktopsoftware te installeren onder het mom van het oplossen van de e-mailproblemen.

De externe toegang tot hun computer wordt vervolgens gebruikt om extra payloads te downloaden om inloggegevens te verzamelen en de persistentie op de hosts te behouden.

Dit wordt bereikt door verschillende batchscripts uit te voeren, waarvan er één ook contact tot stand brengt met een command-and-control (C2)-server om een ​​legitiem exemplaar van OpenSSH voor Windows te downloaden en uiteindelijk een omgekeerde shell naar de server te lanceren.

Bij één incident dat door het cyberbeveiligingsbedrijf werd waargenomen, probeerden de dreigingsactoren achter de campagne tevergeefs Cobalt Strike-bakens in te zetten op andere activa binnen het gecompromitteerde netwerk.

Hoewel er geen bewijs is dat ransomware wordt uitgevoerd als onderdeel van de campagne, zegt Rapid7 dat de activiteit overlapt met eerder geïdentificeerde aanvalsindicatoren die verband houden met de Black Basta-ransomware-operators.

Spam-e-mails en telefoontjes

De aanvalsketen is ook gebruikt om aanvullende tools voor monitoring en beheer op afstand te leveren, zoals ConnectWise ScreenConnect, evenals een trojan voor externe toegang genaamd NetSupport RAT, die onlangs door FIN7-actoren is gebruikt als onderdeel van een malvertisingcampagne.

Dit is vooral opmerkelijk in het licht van het feit dat FIN7-actoren ervan worden verdacht nauwe banden te hebben met Black Basta. Terwijl FIN7 aanvankelijk point-of-sale (PoS)-malware gebruikte om financiële fraude uit te voeren, is het sindsdien overgestapt op ransomware-operaties, hetzij in de hoedanigheid van een dochteronderneming, hetzij door zijn eigen activiteiten uit te voeren onder de namen DarkSide en BlackMatter.

“Nadat hij met succes toegang had gekregen tot de gecompromitteerde asset, observeerde Rapid7 dat de bedreigingsacteur probeerde Cobalt Strike-bakens, vermomd als een legitieme Dynamic Link Library (DLL) genaamd 7z.DLL, in te zetten op andere assets binnen hetzelfde netwerk als de gecompromitteerde asset met behulp van de Impacket-toolset”, aldus Rapid7.

Phorpiex distribueert LockBit Black

De ontwikkeling komt op het moment dat Proofpoint details onthulde van een nieuwe LockBit Black (ook bekend als LockBit 3.0) ransomwarecampagne die het Phorpiex (ook bekend als Trik) botnet gebruikt als kanaal om e-mailberichten te bezorgen die de ransomware-payload bevatten.

Er wordt geschat dat er miljoenen berichten zijn verzonden tijdens de grootschalige campagne die op 24 april 2024 begon. Het is momenteel niet duidelijk wie er achter de aanval zit.

“Het LockBit Black-exemplaar van deze campagne is waarschijnlijk gebouwd op basis van de LockBit-builder die in de zomer van 2023 is gelekt”, aldus Proofpoint-onderzoekers.

“De LockBit Black-bouwer heeft bedreigingsactoren toegang gegeven tot propriëtaire en geavanceerde ransomware. De combinatie hiervan met het al lang bestaande Phorpiex-botnet vergroot de omvang van dergelijke bedreigingscampagnes en vergroot de kans op succesvolle ransomware-aanvallen.”

Inzichten in de Mallox Ransomware Group

Er zijn ook ransomware-aanvallen waargenomen waarbij Microsoft SQL-servers met brute kracht de Mallox-bestandsversleutelende malware inzetten via een .NET-gebaseerde lader genaamd PureCrypter, aldus Sekoia.

Het is bekend dat Mallox, een gesloten ransomwaregroep die opereert vanuit de Europese regio, al sinds juni 2021 wordt gedistribueerd. Medio 2022 kreeg het bekendheid na de transitie naar een ransomware-as-a-service (RaaS)-model en een dubbele afpersingsstrategie. .

Er is waargenomen dat twee verschillende online persona's die met de groep geassocieerd zijn, namelijk Mallx en RansomR, actief leden rekruteerden voor de operatie op verschillende ondergrondse forums.

Verdere analyse van de data-exfiltratieserver van de bedreigingsacteur en hun dark web-infrastructuur heeft de namen van verschillende “stafleden” onthuld, waaronder Admin, Support, Maestro, Team, Neuroframe, Panda, Grindr, Hiervos en Vampire.

“Mallox is vrijwel zeker een opportunistische indringer die impact heeft op organisaties in verschillende branches, met name in de productie, de detailhandel en de technologie”, aldus het bedrijf.

“Hoewel Mallox-vertegenwoordigers actief op zoek zijn naar doelen met een hoog inkomen (zoals aangegeven in rekruteringsposts op cybercriminaliteitsforums), zijn de meeste slachtoffers van de ransomware die bekend zijn in open source kleine en middelgrote ondernemingen.”

Thijs Van der Does