| 0 |
|
Атака з використанням електронної пошти закидає поштові скриньки великою кількістю листів, щоб порушити роботу і приховати підозрілу активність, часто в обхід традиційних засобів захисту. За повідомленням Darktrace, компанія виявила таку атаку на початку 2025 року, виявивши незвичайні шаблони електронної пошти та подальші мережеві аномалії.
Бомбардування електронної пошти - це тактика, яка зазвичай спрямована на порушення роботи та приховування шкідливих листів, що потенційно створює ґрунт для подальших атак із використанням соціальної інженерії. Можна провести паралелі з використанням кінцевих точок алгоритму генерації доменів (DGA) у комунікаціях командування й управління (C2), коли зловмисник генерує нові домени, що здаються випадковими, щоб замаскувати свої шкідливі з'єднання та уникнути виявлення.
Під час атаки з використанням електронної пошти загрозливі суб'єкти зазвичай підписують своїх адресатів на велику кількість сервісів підписки на електронну пошту, наповнюючи їхні поштові скриньки побічно підписаним контентом.
Цю тактику використовували багато загрозливих суб'єктів, зокрема група Ransomware-as-a-Service (RaaS) Black Basta, також відома як Storm-1811.
На початку 2025 року компанія Darktrace виявила атаку з бомбардуванням електронної пошти, під час якої зловмисники заповнювали поштову скриньку клієнта, застосовуючи при цьому методи соціальної інженерії, зокрема голосовий фішинг (vishing). Кінцевою метою було проникнення в мережу замовника шляхом використання законних адміністративних інструментів у зловмисних цілях.
Листи в таких атаках часто обходять традиційні засоби захисту електронної пошти, оскільки технічно їх не класифікують як спам, оскільки припускають, що одержувач підписався на послугу. Поведінковий аналіз Darktrace / EMAIL виявив масу незвичайних, хоча і не шкідливих за своєю суттю, листів, які були відправлені цьому користувачеві в рамках атаки «бомбардування електронної пошти».
У лютому 2025 року компанія Darktrace спостерігала атаку з використанням електронної пошти, під час якої користувач отримав понад 150 листів зі 107 унікальних доменів менш ніж за п'ять хвилин. Кожен із цих листів оминув широко використовуваний і авторитетний шлюз електронної пошти (Security Email Gateway, SEG), але його виявила Darktrace / EMAIL.
Листи різнилися за адресатами, темами та навіть мовами, причому деякі з них були німецькою та іспанською мовами. Найпоширенішою темою в рядку теми цих листів була реєстрація облікового запису, що вказує на те, що зловмисник використовував адресу жертви для підписки на різноманітні розсилки та підписки, що призвело до появи листів із підтвердженням. Такі листи з підтвердженням зазвичай вважаються фільтрами електронної пошти важливими й малонебезпечними, а отже, більшість традиційних засобів захисту без вагань їх пропустять.
Крім того, багато листів було надіслано за допомогою надійних маркетингових інструментів, як-от платформа Mandrill від Mailchimp, яку використовували для надсилання майже половини виявлених листів, що ще більше підвищує їхню легітимність.
Хоча окремі виявлені листи, як правило, були доброякісними, як, наприклад, інформаційний лист від легального британського аеропорту, шкідливим був ефект рою, викликаний отриманням безлічі листів за короткий проміжок часу.
Традиційні інструменти безпеки, які аналізують електронні листи окремо, часто не можуть виявити інциденти, пов'язані з бомбардуванням електронної пошти. Однак Darktrace / EMAIL розпізнав незвичайний обсяг нових доменних повідомлень як підозрілий. Якби Darktrace / EMAIL було ввімкнено в режим автономного реагування, він би автоматично затримав усі підозрілі листи, запобігши їхньому потраплянню до поштової скриньки одержувача.
Після першого бомбардування електронної пошти зловмисник зробив кілька спроб залучити одержувача до розмови за допомогою Microsoft Teams, підробивши при цьому ІТ-відділ організації, щоб викликати почуття довіри та терміновості - після сплеску незвичайних листів користувач погодився на дзвінок з Teams. Пізніше замовник підтвердив, що зловмисник також атакував ще понад 10 внутрішніх користувачів за допомогою атак з бомбардуванням електронної пошти та підроблених дзвінків від ІТ-відділу.
Замовник також підтвердив, що зловмисник успішно переконав користувача розголосити свої облікові дані за допомогою інструменту віддаленого управління Microsoft Quick Access. Хоча такі інструменти віддаленого управління зазвичай використовуються для законних адміністративних цілей, зловмисники можуть використовувати їх для переміщення між системами або збереження доступу в цільових мережах. Якщо ці інструменти вже були помічені в мережі, зловмисники можуть використовувати їх для досягнення своїх цілей, ухиляючись від виявлення, що зазвичай називається «жити на землі» (LOTL).
Подальше розслідування, проведене операційним центром безпеки (SOC) Darktrace, засвідчило, що пристрій одержувача розпочав сканування і розвідувальні дії незабаром після дзвінка команди, що дає змогу припустити, що користувач випадково розкрив свої облікові дані, що призвело до компрометації пристрою.
Аналітик кібернетичного штучного інтелекту Darktrace зміг ідентифікувати ці дії та згрупувати їх в один інцидент, виокремивши при цьому найважливіші етапи атаки.
Першою активністю на мережевому рівні, спостережуваною на цьому пристрої, була незвичайна LDAP-розвідка ширшого мережевого оточення, видається, спроба прив'язки до локальної служби каталогів. Після успішної аутентифікації пристрій почав запитувати LDAP-каталог для отримання інформації про призначені для користувача і кореневі записи. Потім Darktrace спостерігала, як зловмисник проводив розвідку мережі, ініціюючи сканування оточення клієнта і намагаючись під'єднатися до інших внутрішніх пристроїв. Нарешті, зловмисник виконав кілька SMB-сесій і спроб NTLM-аутентифікації на внутрішніх пристроях, але всі вони закінчилися невдачею.
Хоча функція автономного реагування Darktrace пропонувала дії з вимкнення цього підозрілого внутрішнього з'єднання, розгортання було налаштоване в режимі підтвердження людиною. Це означало, що будь-які дії вимагали схвалення людини, що давало змогу продовжувати їх доти, доки не втрутиться служба безпеки замовника. Якби Darktrace був налаштований на автономне реагування, він би заблокував з'єднання з портом 445 і застосував «модель життя», щоб запобігти відхиленню пристрою від очікуваних дій, тим самим припинивши підозріле сканування.
Атаки з використанням електронної пошти можуть становити серйозну загрозу для окремих осіб і організацій, оскільки переповнюють поштові скриньки листами в спробі приховати потенційно шкідливі дії, такі як захоплення облікових записів або крадіжка облікових даних. У той час як багато традиційних шлюзів не справляються з об'ємом цих атак - аналізують окремі листи, а не об'єднують їх, і часто не можуть відрізнити законну діяльність від шкідливої - Darktrace здатний виявляти та зупиняти ці складні атаки без затримок.
Зазначено, що завдяки штучному інтелекту, який самонавчається, і можливостям автономного реагування Darktrace гарантує, що навіть доброякісна діяльність, що здається доброякісною, електронною поштою не буде загублена в шумі.
Стратегія охолодження ЦОД для епохи AI
| 0 |
|
