Hamisított védelmi ipari weboldalak
A DomainTools Investigations (DTI) jelentése szerint egy nagyszabású adathalász infrastruktúrát azonosítottak, amely elsősorban a védelmi és repüléstechnikai szektorban tevékenykedő szervezeteket célozza, különös tekintettel az Ukrajnával kapcsolatos entitásokra.
A támadók kis számú levelezőszervert használnak, amelyek mindegyike egy adott szervezet domainjét utánzó álweboldalakat szolgál ki. Ezek a hamis weboldalak webmail bejelentkező oldalakat jelenítenek meg, amelyek valószínűleg az áldozatok hitelesítő adatainak megszerzésére irányulnak.
Az egyik észlelt adathalász oldal a kroboronprom[.]com domainen található, amely az Ukroboronprom, Ukrajna legnagyobb fegyvergyártójának hivatalos weboldalát próbálja utánozni. Az oldal egy webmail bejelentkező felületet jelenít meg, amelyet a támadók valószínűleg az áldozatok e-mail fiókjainak hozzáférési adatainak megszerzésére használnak.
Az elemzés során további, hasonlóan működő domaineket azonosítottak, mint például space-kitty[.]online és hungry-shark[.]site. Ezek a domainek is webmail bejelentkező oldalakat jelenítenek meg, és valószínűleg ugyanazon adathalász kampány részei.
A támadók valószínűleg olyan adathalász e-maileket küldenek a célzott szervezetek alkalmazottainak, amelyek látszólag a szervezeten belülről érkeznek. Ezek az e-mailek hamis linkeket vagy mellékleteket tartalmaznak, amelyek a fent említett hamis webmail bejelentkező oldalakra irányítják az áldozatokat, így megszerezve hitelesítő adataikat.
A szervezeteknek tájékoztatniuk kell alkalmazottaikat az ilyen típusú adathalász támadásokról, és fel kell hívniuk a figyelmet a gyanús e-mailek és linkek felismerésére., valamint olyan e-mail hitelesítési protokollok alkalmazása, mint a DMARC, DKIM és SPF, amelyek segítenek az e-mail hamisítás elleni védekezésben.
