Хакери розгорнули глобальну кампанію фішингу, використовуючи легальний інструмент віддаленого доступу NetBird для проникнення в комп’ютери фінансових керівників у шести регіонах світу.
Дослідники компанії Trellix викрили багатоступеневу фішингову операцію, спрямовану на фінансових директорів (CFO) у Європі, Африці, Канаді, на Близькому Сході та в Південній Азії. Атака починається з електронного листа, який нібито надсилає рекрутер Rothschild & Co. з пропозицією “стратегічної можливості”. Насправді посилання веде на сторінку Firebase з CAPTCHA-захистом, де ховається зашифрована адреса завантаження шкідливого архіву. У ZIP-файлі міститься VBScript, який запускає каскад дій: завантаження NetBird і OpenSSH, створення прихованого облікового запису, ввімкнення віддаленого доступу та приховане встановлення через планувальник завдань. NetBird — легітимний засіб віддаленого доступу на основі WireGuard — тут перетворено на інструмент для тривалого зламу.
Окремо експерти відзначили, що подібні кампанії все частіше використовують легальні засоби на кшталт ConnectWise, Atera, Splashtop, FleetDeck та LogMeIn Resolve, аби уникати виявлення. В архівах виявлено VBS-скрипти, які динамічно тягнуть інші шкідливі компоненти. Цікаво, що одна з URL-адрес, які використовувались у кампанії, активна вже майже рік, що вказує на значно довший період дії операції.
Цей випадок — лише частина ширшого сплеску соціотехнічних атак, у яких використовуються:
домени реальних провайдерів (наприклад, @nifty.com),
платформи Google Apps Script, Notion, Telegram-боти,
вразливості, як CVE-2017-11882 (для доставлення Formbook),
і навіть PhaaS (Phishing-as-a-Service) сервіси, як Tycoon 2FA та Haozi.
Останній, Haozi, є китайським PhaaS-інструментом, який за 2,000 $ рік надає інтерфейс “під ключ”, підтримку в Telegram і готову інфраструктуру. Це суттєво знижує поріг входу в кіберзлочинність навіть для нефахівців.
Кампанії соціальної інженерії сьогодні — це не поодинокі фішингові листи, а багаторівневі атаки, що використовують легальне програмне забезпечення, автоматизацію і штучний інтелект, щоб проникати в захищені мережі. Щоб протистояти їм, необхідно оновлювати політики безпеки, тренувати користувачів і розглядати нову філософію безпеки, де легальні інструменти вже не можна вважати автоматично “безпечними”.
