TTL OSINT

Краткое описание безопасности: Злоумышленник использует скомпрометированные учетные записи и специализированную социальную инженерию для заражения транспортных и логистических фирм вредоносным ПО

Proofpoint выявила группу действий, нацеленных на транспортные и логистические компании в Северной Америке, где злоумышленники используют взломанные учетные записи электронной почты для доставки различных вредоносных программ, таких как Lumma Stealer, StealC, NetSupport, DanaBot и Arechclient2. Как правило, кампании включают менее 20 сообщений и затрагивают небольшое число клиентов. Злоумышленник использует URL-адреса Google Диска и .Файлы URL-адресов для распространения вредоносного ПО, часто выдавая себя за программное обеспечение, специально разработанное для грузовых операций и управления автопарком. Формулировки, используемые в предложениях и содержании, указывают на знакомство с типичными бизнес-процессами. Хотя Proofpoint не связала этот кластер действий с выявленной угрозой, они с умеренной уверенностью считают, что он соответствует финансово мотивированным целям киберпреступников. Пользователям следует проявлять осторожность при работе с электронными письмами, поступающими от известных отправителей, которые отличаются от обычной активности или содержания, особенно в сочетании с необычно выглядящими ссылками и типами файлов. Индикаторами компрометации являются хэши SHA256 для .Файлы URL-адресов, URL-адреса и различные вредоносные программы, а также временные метки, указывающие на то, когда эти индикаторы были впервые замечены.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://www.proofpoint.com/us/blog/threat-insight/security-brief-actor-uses-compromised-accounts-customized-social-engineering

Выборочные показатели Compromise:

• 8fe96fb9d820db0072fe0423c13d2d05f81a9cf0fdd6f4e2ee78dc4ca1d37618
• https://live-samsaratrucking.com/true-tracking-32934.html
• e5ed1a273faf5174dbd8db9d6d3657b81dc2cbc2e0af28cfe76f41c3d2f2fc37
• 163dccdcaa7fdde864573f2aabe0b9cb3fdcdc6785f422f5c2ee71ae6c0e413a
• 1a002631b9b2e685aeb51e8b6f4409daf9bc0159cfd54ef9ad3ba69d651ac2a3

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал