Wipro Breach背后更广泛的威胁活动
安全研究人员已经发现了一个大型礼品卡动机活动,这些活动将受害者与商业上提供的和开源营销工具瞄准受害者,以发动网络钓鱼攻击。
攻击的报告首先出现了SecurityReport的Wheskrebs,攻击者遭到了印度IT服务公司Wipro的IT系统,并使用它们来对其某些客户发动攻击。
然而,根据RiskiQ的最新威胁情报报告,这种攻击远非孤立的事件。
该报告表明,该活动实际上是一个高度有目标和策划良好的操作,达到远远超过Wipro的受损基础设施,并涉及可追溯到2016年的长期目标。
虽然无法确认归因,但本集团的众多并发攻击展示了一些国家赞助活动的标志,如精确,组织,以及似乎是金融动机。
报告称,基础设施在被动DNS中重叠,WHOIS和SSL证书数据集,表示,启用Visualiq研究人员来配置本集团并识别其基础架构。
“通过RiskiQ的数据收集网格和独特的威胁演员操作外观,我们可以将该组的更完整的图片和他们的攻击活动,工具和可能的动机一起划分,”Ruskiq主管研究员Yonathan Klijnsma表示。
“这项运动中涉及的基础设施的纯粹规模以及攻击这么多不同组织的共同努力既令人印象深刻和令人不安,”他说。
该报告显示,威胁组使用广泛使用的电子邮件营销和分析工具来创建有效的电子邮件网络钓鱼活动,并显示对目标网络安全的合法性。
本集团主要针对主要礼品卡零售商,经销商和卡处理器。通过访问此礼品卡基础设施,攻击者使用汇款服务,清除屋和其他支付处理机构来获得金钱。
本集团使用的PowerShell脚本之一BabysharkPro先前已与朝鲜威胁活动相关联。然而,RiskiQ表示,这可能是一个错误的标志,以误导研究人员。
报告称,随后对WIPRO等IT基础设施组织的攻击表示,威胁小组可能会试图扩大其境地的更广泛的目标。
报告指出,虽然威胁Actor集团使用开源工具的使用允许它们在限制分析师基于工具重用的基于工具重用时轻松地将活动的能力进行扩展,但风险Q的分析突出了组织如何构建一小集基于网络的指标或妥协(IOC),以导出关于对手及其攻击活动,其活动范围以及对手的整体行动的总体影响的背景。
报告称,“使用众多数据集和枢轴点,分析师可以获得对对抗基础设施的更广泛了解。”