GrayCharlie kampány
A Recorded Future jelentése a GrayCharlie fenyegető szereplőt vizsgálja, amely 2023 közepe óta működik és kiberbűnözői kampányokat folytat különböző iparágakban. A csoport tevékenységét az Insikt Group figyelte meg, és a Recorded Future platformján most először publikálták részletesen az infrastruktúráját és támadási láncait.
A GrayCharlie fő módszere, hogy feltört WordPress-oldalakba rosszindulatú JavaScript-et injektál, amely a látogatókat ál-böngésző-frissítési oldalakra vagy ClickFix csalikra irányítja, és így NetSupport RAT , vagy más payloadok, így Stealc és SectopRAT telepítését éri el a felhasználói gépeken. A cél végső soron valószínűleg adatlopás és anyagi haszonszerzés, de nem zárható ki, hogy a megszerzett hozzáféréseket később más támadók számára értékesítik vagy átadják.
A GrayCharlie kampányok ellátási lánc jellegű kompromittálást is magukban foglalhatnak, amikor számos amerikai jogi cég weboldala is érintetté vált, ez felveti egy közös IT-szolgáltató vagy harmadik fél kompromittálásának lehetőségét, amelyen keresztül a fertőzés terjedhetett. A támadó infrastruktúra és a RAT-kommunikáció szerverei különböző klaszterekben kapcsolódnak egy-egy kampányhoz, ami arra utal, hogy a csoport nagyszabású és folyamatos tevékenységet folytat, konzisztens eszközökkel és technikákkal. A szakértők szerint a védekezéshez olyan intézkedésekre van szükség, mint az ismert C2-szerverek és kompromittált tartományok blokkolása, detekciós szabályok integrálása (például YARA, Sigma), valamint folyamatos monitoring és IoC-ellenőrzés a szervezet hálózatán belül.
