Een cybercrime-groep die sinds medio 2019 actief is, heeft de e-mailaccounts van hooggeplaatste leidinggevenden bij meer dan 150 bedrijven gehackt.
De groep, met codenaam 'PerSwaysion', lijkt zich voornamelijk op de financiële sector te hebben gericht, die meer dan de helft van de slachtoffers betrof; hoewel er ook slachtoffers zijn geregistreerd bij bedrijven die actief zijn in andere branches.
PerSwaysion-operaties waren niet geavanceerd, maar zijn desalniettemin zeer succesvol geweest. Group-IB zegt dat de hackers geen kwetsbaarheden of malware gebruikten bij hun aanvallen, maar vertrouwden op een klassieke spear-phishing-techniek.
Ze stuurden boobytrapped-e-mails naar leidinggevenden bij gerichte bedrijven in de hoop hooggeplaatste leidinggevenden te misleiden om Office 365-inloggegevens in te voeren op nep-inlogpagina's.
Werkwijze
De werkwijze van de hackers
- Slachtoffers ontvangen een e-mail met een PDF-bestand als e-mailbijlage. Als slachtoffers het bestand openen, wordt hen gevraagd op een link te klikken om de daadwerkelijke inhoud te bekijken.
- De link zou gebruikers omleiden naar een Microsoft Sway-pagina (nieuwsbriefservice), waar een vergelijkbaar bestand het slachtoffer zou vragen op een andere link te klikken.
- Deze laatste link leidt de leidinggevende naar een pagina die de aanmeldingspagina van Microsoft Outlook nabootst, waar hackers de inloggegevens van het slachtoffer zouden verzamelen.
PerSwaysion-operators reageerden snel vanaf het moment van een succesvolle phish en hadden meestal binnen een dag toegang tot gehackte e-mailaccounts.
“Nadat de referenties naar hun [command and control servers] zijn gestuurd, loggen de PerSwaysion-operators in op de aangetaste e-mailaccounts. Ze dumpen e-mailgegevens via API en brengen de zakelijke relaties van de eigenaar tot stand, ”aldus Group-IB.
“Ten slotte genereren ze nieuwe phishing-pdf-bestanden met de volledige naam van het slachtoffer, e-mailadres, wettelijke bedrijfsnaam. Deze pdf-bestanden worden naar een selectie van nieuwe mensen gestuurd die zich meestal buiten de organisatie van het slachtoffer bevinden en belangrijke posities bekleden. ”
Meteen verwijderen uit outbox
Zodra PerSwaysion-operators een nieuwe spear-phishing-campagne hadden verzonden vanuit een gehackt account, verwijderen ze meteen ook de phishingmails uit de outbox-map van het mail programma om zo detectie te voorkomen.
Voorlopig heeft Group-IB niet kunnen achterhalen wat hackers hebben gedaan nadat ze toegang hadden gekregen tot deze e-mailaccounts.
Verkoop gegevens
Hackers verkopen mogelijk de gegevens aan andere cybercriminelen (caas) zodat deze criminelen weer kunnen toeslaan waar die weer in gespecialiseerd zijn. Bijvoorbeeld het stelen van gegevens, de computers versleutelen (ransomware), zich voordoen als een CEO (ceo fraude), enz... zo helpen de gespecialiseerde criminelen elkaar om zo grof geld te verdienen. "Ben je technisch niet goed onderlegd, wij doen het moeilijke werk tegen betaling" staat soms in advertenties op criminele marktplaatsen.
Uit onderzoek van gegevens is de PerSwaysion-groep samengesteld uit leden vanuit Nigeria en Zuid-Afrika en gebruiken ze een phishing-toolkit die is ontwikkeld door een Vietnamese programmeur.
Afgelopen week is er een website gelanceerd waar leidinggevenden kunnen controleren of hun e-mailadressen in het verleden door de groep zijn verkregen en getarget.