Hackare poserar som ingenjörslicensorganisation till Phish US Utilities

Hackare poserar som ingenjörslicensorganisation till Phish US Utilities

En statligt sponsrad hackgrupp kan försöka infiltrera amerikanska verktygsföretag med phishing-e-postmeddelanden som innehÄller skadliga Microsoft Word-bilagor.

SĂ€kerhetsföretaget Proofpoint erhöll prover av e-postmeddelandena, som lĂ„tsades komma frĂ„n US National Council of Examiners for Engineering and Surveying (NCEES). Även om e-postmeddelandena ser legitim ut vid första anblicken skickades de frĂ„n en hackarkontrollerad domĂ€n pĂ„ “nceess.com” istĂ€llet för den officiella “ncees.org” -sidan.

Phishing NCEES E-post

Phishing-e-postmeddelandena innehöll ett Microsoft Word-dokument som – nĂ€r det vĂ€l öppnats – anvĂ€nde makron eller en serie automatiserade kommandon för att installera och köra en bit av skadlig kod gömd i Word-filen. “Vi tror att detta kan vara ett statligt sponsrat APT (avancerat ihĂ„llande hot) -aktör baserat pĂ„ överlappningar med historiska kampanjer och makron som anvĂ€nds”, sa ProofPoint i rapporten, som slĂ€pptes pĂ„ torsdagen.

Phishing-e-postmeddelandena försökte locka mottagare till att öppna bilagan genom att hÀvda att de hade misslyckats med en NCEES-licensundersökning och att deras poÀng var i det bifogade Microsoft Word-dokumentet.

Proofpoint undersökte den domĂ€n som var knuten till nĂ€tfiskeattacken, och avslöjade bevis som de inblandade hackarna ocksĂ„ har försökt att utge sig för andra tekniska och elektriska licensorganisationer i USA genom andra falska domĂ€ner. “Bland dessa domĂ€ner sĂ„gs endast nceess.com i aktiva nĂ€tfiske-kampanjer riktade till verktygsföretag”, tillade sĂ€kerhetsföretaget.

Phishing-e-postmeddelandena skickades mellan den 19 juli och den 25 juli. Inblandad skadlig kod kan fungera som en Trojan för fjĂ€rrĂ„tkomst för att i hemlighet ta över en dator. Funktionerna inkluderar “visning av process-, system- och fildata; radering av filer; körning av kommandon; skĂ€rmdumpar; flyttning och klicka med musen; starta om maskinen och ta bort sig sjĂ€lv frĂ„n en infekterad vĂ€rd,” sa Proofpoint.

SÀkerhetsföretaget sÀger att makron som anvÀnds i Word-dokumenten innehÄller likheter med andra misstÀnkta statligt sponsrade hackningskampanjer mot japanska företag. Proofpoint avstod frÄn att identifiera de tre amerikanska företagen som Àr inriktade pÄ phishing-systemet, men sa att det Àr klart att amerikanska leverantörer av kritisk infrastruktur mÄste vara pÄ vakt mot potentiella intrÄngsförsök. De senaste Ären har sÀkerhetsföretag upptÀckt bevis för att nationalstatens hackare riktar sig till verktygsföretag med skadlig kod som kan spionera pÄ och till och med störa fabriker och kraftverk.