Hackare poserar som ingenjörslicensorganisation till Phish US Utilities

Hackare poserar som ingenjörslicensorganisation till Phish US Utilities

En statligt sponsrad hackgrupp kan försöka infiltrera amerikanska verktygsföretag med phishing-e-postmeddelanden som innehåller skadliga Microsoft Word-bilagor.

S√§kerhetsf√∂retaget Proofpoint erh√∂ll prover av e-postmeddelandena, som l√•tsades komma fr√•n US National Council of Examiners for Engineering and Surveying (NCEES). √Ąven om e-postmeddelandena ser legitim ut vid f√∂rsta anblicken skickades de fr√•n en hackarkontrollerad dom√§n p√• “nceess.com” ist√§llet f√∂r den officiella “ncees.org” -sidan.

Phishing NCEES E-post

Phishing-e-postmeddelandena inneh√∂ll ett Microsoft Word-dokument som – n√§r det v√§l √∂ppnats – anv√§nde makron eller en serie automatiserade kommandon f√∂r att installera och k√∂ra en bit av skadlig kod g√∂md i Word-filen. “Vi tror att detta kan vara ett statligt sponsrat APT (avancerat ih√•llande hot) -akt√∂r baserat p√• √∂verlappningar med historiska kampanjer och makron som anv√§nds”, sa ProofPoint i rapporten, som sl√§pptes p√• torsdagen.

Phishing-e-postmeddelandena försökte locka mottagare till att öppna bilagan genom att hävda att de hade misslyckats med en NCEES-licensundersökning och att deras poäng var i det bifogade Microsoft Word-dokumentet.

Proofpoint unders√∂kte den dom√§n som var knuten till n√§tfiskeattacken, och avsl√∂jade bevis som de inblandade hackarna ocks√• har f√∂rs√∂kt att utge sig f√∂r andra tekniska och elektriska licensorganisationer i USA genom andra falska dom√§ner. “Bland dessa dom√§ner s√•gs endast nceess.com i aktiva n√§tfiske-kampanjer riktade till verktygsf√∂retag”, tillade s√§kerhetsf√∂retaget.

Phishing-e-postmeddelandena skickades mellan den 19 juli och den 25 juli. Inblandad skadlig kod kan fungera som en Trojan f√∂r fj√§rr√•tkomst f√∂r att i hemlighet ta √∂ver en dator. Funktionerna inkluderar “visning av process-, system- och fildata; radering av filer; k√∂rning av kommandon; sk√§rmdumpar; flyttning och klicka med musen; starta om maskinen och ta bort sig sj√§lv fr√•n en infekterad v√§rd,” sa Proofpoint.

Säkerhetsföretaget säger att makron som används i Word-dokumenten innehåller likheter med andra misstänkta statligt sponsrade hackningskampanjer mot japanska företag. Proofpoint avstod från att identifiera de tre amerikanska företagen som är inriktade på phishing-systemet, men sa att det är klart att amerikanska leverantörer av kritisk infrastruktur måste vara på vakt mot potentiella intrångsförsök. De senaste åren har säkerhetsföretag upptäckt bevis för att nationalstatens hackare riktar sig till verktygsföretag med skadlig kod som kan spionera på och till och med störa fabriker och kraftverk.