Το Scripted Sparrow είναι ένας νέος όμιλος Business Email Compromise (BEC) που δραστηριοποιείται σε τρεις ηπείρους.
Οι δραστηριότητές τους είναι τεράστιες, αξιοποιώντας σημαντική αυτοματοποίηση για τη δημιουργία και τη διανομή μηνυμάτων επίθεσης σε παγκόσμια κλίμακα.
Ο όμιλος στοχεύει πρωτίστως οργανισμούς μεταμφιεσμένος σε συμβούλους καθοδήγησης στελεχών ή ηγεσίας για να εξαπατήσει ανυποψίαστους υπαλλήλους.
Η επίθεση συνήθως ξεκινά με ένα μήνυμα ηλεκτρονικού ταχυδρομείου που αποστέλλεται σε ένα μέλος της ομάδας Πληρωμή λογαριασμών. Αυτά τα μηνύματα συχνά περιλαμβάνουν μια κλεμμένη αλυσίδα απαντήσεων που προσομοιώνει μια συνομιλία μεταξύ ενός πωλητή και ενός στελέχους εταιρείας.
Ο στόχος είναι να δοθεί νομιμότητα στο αίτημα, το οποίο συνήθως περιλαμβάνει ένα δόλιο τιμολόγιο για υπηρεσίες όπως το “The Catalyst Executive Circle” και ένα έντυπο W-9.
.webp.jpeg "Το Scripted Sparrow χρησιμοποιεί αυτοματισμό για τη δημιουργία και αποστολή των μηνυμάτων επίθεσης")
Τα τιμολόγια συχνά φτιάχνονται έτσι ώστε να πέφτουν λίγο κάτω από τα 50.000 $, συγκεκριμένα τα 49.927,00 $, για να αποφευχθεί η ενεργοποίηση ροών εργασιών οικονομικής έγκρισης υψηλότερου επιπέδου.
Πρόσφατα, οι αναλυτές της Fortra αναγνωρισθείς ότι η ομάδα έχει εξελίξει τις τακτικές της για να παρακάμψει τα φίλτρα ασφαλείας. Αντί να επισυνάψουν απευθείας κακόβουλα έγγραφα, μερικές φορές τα παραλείπουν σκόπιμα, προτρέποντας τον παραλήπτη να απαντήσει και να ζητήσει τα αρχεία που λείπουν.
Αυτή η συνομιλία δημιουργεί εμπιστοσύνη πριν από την παράδοση του τελικού ωφέλιμου φορτίου. Η κλίμακα είναι τεράστια, με τις εκτιμήσεις να υποδηλώνουν ότι η ομάδα στέλνει εκατομμύρια στοχευμένα μηνύματα μηνιαίως.
Αυτός ο τόμος συνεπάγεται σε μεγάλο βαθμό τη χρήση αυτοματοποιημένων εργαλείων δέσμης ενεργειών για τη διαχείριση τόσο μεγάλης ποσότητας αλληλογραφίας.
Για παράδειγμα, η ανάλυση μεταδεδομένων αποκάλυψε ότι το 76% των συνημμένων PDF τους δημιουργήθηκαν χρησιμοποιώντας τη βιβλιοθήκη Skia/PDF, υποδεικνύοντας μια βελτιωμένη, προγραμματική προσέγγιση για τη δημιουργία εγγράφων.
Επιχειρησιακή Ασφάλεια και Τακτικές Αποφυγής
Μια ξεχωριστή πτυχή του Scripted Sparrow είναι η προσπάθειά του να κρύψει τα ίχνη του μέσω διαφόρων επιχειρησιακών μέτρων ασφαλείας.
Κατά τη διάρκεια εμπλοκών ενεργού άμυνας, οι ερευνητές παρατήρησαν την ομάδα χρησιμοποιώντας πρόσθετα προγράμματα περιήγησης για να παραποιήσουν τη γεωγραφική τους τοποθεσία.
Ωστόσο, αυτές οι προσπάθειες αποκάλυψαν συχνά την έλλειψη τεχνικής πολυπλοκότητας και κατανόησης του πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP).
Για παράδειγμα, ορισμένοι ηθοποιοί φάνηκαν να λειτουργούν από απίθανες απομακρυσμένες τοποθεσίες λόγω της κακής διαμόρφωσης των εργαλείων τους.
Περαιτέρω ανάλυση των δακτυλικών αποτυπωμάτων του προγράμματος περιήγησης αποκάλυψε περισσότερες ασυνέπειες. Σε μια περίπτωση που εμφανίζεται στην Εικόνα 6, ένας παράγοντας απειλής φάνηκε να ταξιδεύει από το Σαν Φρανσίσκο στο Τορόντο μέσα σε λίγα δευτερόλεπτα, επιβεβαιώνοντας τη χρήση λογισμικού κάλυψης τοποθεσίας.
Επιπλέον, μια τεχνική ανασκόπηση των συμβολοσειρών πρακτόρων χρήστη εντόπισε καταχωρήσεις όπως “TelegramBot (όπως το TwitterBot).”
Αυτό το συγκεκριμένο σημείο δεδομένων υποδηλώνει ότι η ομάδα χρησιμοποιεί το Telegram για εσωτερική επικοινωνία και συντονισμό.
Αυτά τα τεχνικά δελτία παρέχουν στους υπερασπιστές πολύτιμα σήματα για να αναγνωρίσουν και να μπλοκάρουν αποτελεσματικά την υποδομή τους.
