
По данным компании безопасность Group-IB, один взлом команда, активная с середины 2019 года, нарушенные учетные записи электронной почты, принадлежащие высокопоставленным руководителям из более чем 150 компаниив контексте копье-фишинг кампания.
Группа по имени PerSwaysionв основном нацеливается на него финансовый сектор (около половины его жертв), но также компании в других отраслях.
Операции PerSwaysion не очень сложные, но они были чрезвычайно успешными успешный, Group-IB говорит, что злоумышленники не использовали уязвимости или вредоносные программы на нападки но полагался на классическую технику подводной охоты.

Они отправляли электронные письма высокопоставленным руководителям целевых компаний в надежде обмануть их и импортировать Учетные данные Office 365 на поддельных страницах.
Group-IB сказал, что фишинг-атака на руководителей состоял из трех этапов:
- Жертвы получают письмо, содержащее чистый файл PDF как прилагается. Если жертвы откроют его файл, им будет предложено нажать на ссылку, чтобы увидеть фактическое содержание.
- Ссылка перенаправляет пользователей на страницу Microsoft Sway (служба рассылки), где запрашивается аналогичный файл жертва нажать на другую ссылку.
- Эта последняя ссылка перенаправляет исполнителя на страницу, которая имитирует страницу входа в Microsoft Outlook. Если руководители ставят свои полномочия, Хакеры они украдут их.
Хакеры PerSwaysion действовали быстро после того, как учетные данные были похищены и им удалось получить доступ к нарушенным аккаунтам e-mail в течение дня
«После отправки учетных данных на свои серверы управления и контроля хакеры PerSwaysion подключаются к взломанным учетным записям электронной почты», - сказал Group-IB.
"Наконец, они создают новые фишинговые PDF-файлы с полным именем жертвы, адресом электронной почты, юридическим названием компании, эти архив «PDF-файлы рассылаются молодым людям вне тела жертвы, занимающим важные должности».
Group-IB также сообщила, что как только хакеры отправляют новые письма с фишинг-фишингом со взломанного аккаунта, они удаляют письма из исходящей папки, чтобы избежать обнаружения.
В настоящее время Group-IB еще не знает точно, что они делают Хакеры с момента кражи электронных писем.
Они могут продавать доступ к другим преступным группам и многое другое.
Group-IB сказала, что команда PerSwaysion состоит из члены базируются в Нигерии и Южной Африке и использовать один фишинговый инструментарий, разработано вьетнамским разработчиком. «Лидера» команды, вероятно, зовутСэм.
Охранное предприятие открыло сайтгде руководители могут проверить, если счета Их электронные письма были взломаны хакерской командой.