从 Conti 勒索软件操作中分离出来的至少三个团体已采用 BazarCall 网络钓鱼策略作为获得对受害者网络的初始访问权限的主要方法。
这允许威胁参与者部署高度针对性的攻击,由于社会工程组件,这些攻击更难以检测和阻止。
BazarCall 基础知识
BazarCall/BazaCall 方法也称为回调网络钓鱼,于 2021 年初 作为 Ryuk 勒索软件操作使用的攻击媒介出现,该操作后来更名为 Conti。
使用这种技术的威胁者针对员工,无论是来自一家公司还是整个行业,并相应地定制网络钓鱼活动以获得最大效率。
BazarCall 攻击始于一封电子邮件,通知收件人据称支付的订阅即将自动续订,并且可以通过拨打特定号码取消付款。
受害者拨打所提供的电话号码会联系到精通社会工程学的威胁参与者,后者说服呼叫者通过网络入侵者控制的合法软件启动远程访问会话。
当社会工程师分散受害者的注意力时,入侵者决定如何在不触发任何警报的情况下破坏网络。
BazarCall 攻击
源摘要:AdvIntel
目前,有证据表明三个组织都使用了 BazarCall 或这些策略的一个版本,它们都是前 Conti 勒索软件操作的一部分:Silent Ransom Group、Quantum 和 Roy/Zeon。
转向社会工程的原因是攻击的可预测性,随着防御者开始实施有效的缓解措施,导致利润减少。
然而,欺骗人类将允许一种更灵活的方法,可以从一个活动更改为另一个活动,从而使攻击更难以识别和防御。
据网络情报公司 Advanced Intelligence ( AdvIntel ) 的研究人员称,Conti 的一名成员在内部通信中表示:
“我们无法赢得技术战争,因为在这方面我们与价值数十亿美元的公司竞争,但我们可以赢得人的因素” – Conti 成员
Silent Ransom Group 通过 BazarCall 打击主要公司
AdvIntel 研究人员表示,最初开展 BazarCall 活动的派系于 2022 年 3 月与 Conti 集团分离,并成立了一个名为 Silent Ransom Group (SRG) 的新集体,也被追踪为 Luna Moth。
从 2022 年 4 月开始,随着 Conti 关闭,BazarCall 运营商成立了自己的勒索组织,称为 Silent Ransom Group (SRG)。在三个多月的时间里,他们针对至少 94 个组织,只专注于窃取数据和勒索受害者。
他们通常会在网络钓鱼活动中发送假冒多邻国语言学习和 MasterClass 在线教育平台的订阅通知
Silent Ransom Group 网络钓鱼电子邮件
来源:AdvIntel
该集团重点关注年收入在 50 万美元至 1000 亿美元之间的医疗保健行业实体,其中近 40% 的实体收入超过 10 亿美元。
尽管 AdvIntel 今天在他们的报告中没有给出任何名字,但研究人员将 SRG 的一些主要目标和受害者描述为:
NBA球队
一家跨国武器制造商和航空航天公司(数据泄露中被盗)
大型 IT 解决方案提供商
一家价值数十亿美元的技术和软件公司
大型管道和暖通空调供应商
AdvIntel 表示,他们的早期报告和帮助使上面列表中的最后三家目标公司能够采取缓解措施,防止全面违规和数据泄露。
Quantum 使用自定义 BazarCall 策略
2022 年 6 月中旬,Conti 的另一个分支 Quantum 勒索软件开始在名为“Jörmungandr”(北欧神话中的米德加德蛇或世界蛇)的操作中使用他们的 BazarCall 版本。
参与者通过雇用专门从事垃圾邮件、OSINT、设计和呼叫中心操作员的人员来开发这项操作。
根据来自 AdvIntel 的信息,Quantum 勒索软件运营商是主要的 Conti 分支(Conti Team Two),一群高技能的黑客负责 破坏哥斯达黎加政府。
Quantum 勒索软件于 2021 年 9 月以更名的 MountLocker 出现,但并未取得一定的成功。随着 Conti 开始关闭,Quantum 勒索软件操作于 2022 年 4 月被 Conti Team Two 中的黑客接管,他们保留了原始运营商的名称。
归因于 Quantum 集团的 BazarCall 电话活动在两个月内变得更加复杂,并根据他们购买的独家电子邮件数据集针对知名公司。
正如 AdvIntel 研究人员所观察到的,对于 BazarCall 网络钓鱼活动,Quantum 冒充了更多的品牌:
金雅得国际
“青龙”(Azure Storage)
甲骨文
你好新鲜
Luchechko 抵押贷款团队
美国平等机会就业委员会
群众罢工
狼吞虎咽
无论网络钓鱼电子邮件中的主题是什么,威胁行为者都敦促收件人拨打电话进一步澄清。
AdvIntel 表示,在早期阶段,Quantum 曾尝试使用 BazarCall 电子邮件冒充甲骨文,并将网络钓鱼邮件发送给超过 200,000 名收件人。
后来,他们部署了更复杂的活动,冒充来自 CrowdStrike网络安全公司的关于受害者网络异常活动的通信。
量子集团冒充 CrowdStrike 网络安全公司
来源:AdvIntel
在另一项高级网络钓鱼操作中,Quantum 以一封冒充 Luchechko 品牌的电子邮件为目标银行,该电子邮件提供有关目标歧视基于种族申请贷款的个人的通知。
AdvIntel 表示,攻击者选择 Luchechko 是因为该公司的东欧背景。这样,当目标呼叫提供的号码时,接线员的口音就不会引起任何怀疑。
BazarCall 活动中的量子网络钓鱼电子邮件
来源:AdvIntel
根据 AdvIntel 的报告,Quantum 使用 Jörmungandr(他们的 BazarCall 方法版本)瞄准了 5 家年收入超过 200 亿美元的“大型公司”,其中大部分在医疗保健领域。
其中之一是托管服务提供商 (MSP),它允许访问数百家企业并将它们置于加密风险之中,类似于 去年REvil 勒索软件对 Kaseya 的攻击 。
当他们获得对受害者网络的访问权限时,Quantum 黑客通常会窃取数据并加密系统。
Conti Team One 成为 Roy/Zeon
从 Conti 分离出来的第三组采用类似 BazarCall 的技术被称为 Roy/Zeon,以他们用来加密受害者网络的两个储物柜(Roy 和 Zeon)的名称命名。
“这个小组来自负责创建 Ryuk 本身的 Conti 的“Team One”的老守卫成员” – AdvIntel
Roy/Zeon 也是最擅长社会工程的人,并且对目标非常挑剔,选择年收入高或来自敏感行业的公司。
他们于 6 月 20 日开始利用 BazarCall 技术进行精心设计的操作,模拟了最多的品牌,其中许多是特定行
业公司使用的软件供应商:
西格纳尔合作伙伴
连线
应用自动化技术
RMM 中央
意大利语
奥维克
远程电脑
RentoMojo
国际包裹
什么修复
EZLynx
加拿大 EATclub
标准注释
Roy/Zeon 展示社会工程学技能
AdvIntel 研究人员表示,选择冒充上述品牌是基于评估目标员工更倾向于与特定于他们活动的软件供应商交谈,这在行业外鲜为人知。
此外,Roy/Zeon 还冒充了软件解决方案管理公司 Edifecs 的真实员工,从而在粗略验证发件人身份时增加了合法性。
AdvIntel 研究人员发现,在最近的一次活动中,攻击者针对金融机构发出了来自 Standard Notes 供应商的虚假通知 – 一种具有端到端加密功能的笔记应用程序 – 关于试用期的结束。
Roy/Zeon 集团使用 BazarCall 网络钓鱼攻击金融机构
来源:AdvIntel
Roy/Zeon 使用 BazarCall 技术作为“新泽西州东北部主要住房管理局”的初始攻击媒介,导致对 130 多台服务器和 500 台工作站进行加密。
攻击者使用未受保护的 VPN 访问公司网络并窃取 600GB 数据。
根据 AdvIntel 的情报,该组织索要 550 万美元的赎金,并威胁要公布据称包含贪污活动证据的文件。
研究人员能够确定 Roy/Zeon 的 BazarCall 活动的其他八名受害者:
德克萨斯州一家提供全方位服务的园林绿化公司
意大利领先的药品生产商
机加工金属部件制造商
保时捷、宾利、兰博基尼、奥迪和梅赛德斯的专业服务中心
意大利的一个小自治市
加拿大电气和仪表承包商
一家大型加拿大地中海食品经销商
一本专注于底特律地区的城市杂志
采用 BazarCall 策略破坏公司的三个团体表明,敲诈业务,无论是通过窃取数据还是与网络加密相结合,仍然可以盈利。
回拨网络钓鱼有回报
AdvIntel 研究人员指出,他们归因于 SRG、Quantum 和 Roy/Zeon 的 BazarCall 活动在三个多月内导致了 20 次备受瞩目的访问和高达数千万美元的赎金要求。
这种新攻击向量的风险评估很严峻,因为威胁参与者可以使用它来增加恶意软件的感染率,例如 Atera、Cobalt Strike、Brute Ratel、Zoho 远程桌面控制、远程监控和管理代理或恶意软件 (Sliver) .
虽然检测攻击的初始阶段可能很困难,但防御者可以跟踪来自与命令和控制服务器通信的异常信号以及植入机器上的指示感染的信标。
此外,AdvIntel 建议监控网络以发现可能影响域控制器的潜在横向移动活动。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » BazarCall网络钓鱼攻击激增背后的Conti勒索团伙
