IKEA under angreb af intern phishing-kampagne

For nylig IKEA, et svensk-oprindende hollandsk-hovedkvarter multinationalt konglomerat, rapporterede bølgerne af en intern phishing-kampagne. Trusselaktører brugte interne kompromitterede servere til at sende virksomhedens medarbejdere e-mails med ondsindede vedhæftede filer. Cybersikkerhedsspecialister siger, at lignende teknikker, hackere brugte i de seneste kampagner for at sprede Emotet- og Qakbot-trojanske heste. Hele kompleksiteten af ​​situationen hentyder til, at der kan være mulige cybersikkerhedstrusler mod virksomheden. Selvom der ikke blev givet yderligere detaljer.

Trusselaktører angreb IKEA med en intern phishing-kampagne

Normalt ved at udføre angreb som dette, trusselsaktører ville kompromittere interne Microsoft Exchange-servere ved hjælp af ProxyLogin og ProxyShell sårbarheder. Så snart de får adgang til serveren, begynder de at udføre svarkædeangreb mod medarbejdere med stjålne virksomheds-e-mails. Når de bliver sendt som svarkæde-e-mails fra virksomheden, giver de helt sikkert en følelse af legitimitet.

“This means that the attack can come via email from someone that you work with, fra enhver ekstern organisation, og som svar på en allerede igangværende samtale. Det er derfor svært at opdage, hvilket vi beder dig om at være ekstra forsigtig med,” goes in en intern e-mail sendt til IKEA medarbejdere.

Som IT-specialisterne i IKEA siger, advarselsskiltene, du skal kigge efter, hvis e-mailen er ondsindet, er syv cifre i slutningen af ​​enhver vedhæftet fil. Virksomheden bad også medarbejderne om ikke at åbne nogen e-mails sendt til dem og straks rapportere dem til it-afdelingen. Også som en sikkerhedsforanstaltning, virksomhedens ledelse i forhold til deres bekymringer begrænsede medarbejdernes mulighed for at hente e-mails, der kan ende i medarbejdernes karantænebokse.

De ondsindede e-mails indeholdt URL'er, der ville omdirigere browseren til en download med titlen "charts.zip", som havde et Excel-dokument. Potentielle modtagere af sådanne e-mails blev bedt om at klikke på aktiveringsknapperne for at se den vedhæftede fil. Naturligvis aktiverede sådanne handlinger straks de ondsindede makroer. De downloader igen filer med titlen 'besta.ocx,’ ‘bestb.ocx,’ and ‘bestc.ocx’ from a remote site and save them to the C:\Datop folder. Nu omdøbte DLL-filer begynder udførelsesprocessen med kommandoen regsvr32.exe for at installere malware-nyttelasten.

Sådan ved du, om jeg har modtaget en phishing-e-mail?

Du kan sige, at phishere i disse dage er voldsomme, og de "Du vandt 1 millioner besvar venligst denne e-mail” phishere, der desperat forsøger at følge med tiden ( Fortæl mig, hvem der er de mennesker, der reagerer på dem, selvom). I dag trusselsaktører anvende mere snedige måder at narre dig til at give dine oplysninger.

Nu, mens jeg skriver dette, tænker jeg tilbage på det kvindeopkald fra angiveligt en bank og spekulerer stadig på, om det var en phisher. Men tilbage på sporet: den bedste løsning på et problem er at forhindre det. Kend de næste gennemprøvede tips til registrering af phishing-e-mail:

Vær især forsigtig med eventuelle links og vedhæftede filer