Firebrick Ostrich utilise des tactiques open-source pour lancer des cyberattaques
Abnormal Security a découvert un nouvel acteur de menace d'attaque de messagerie d'entreprise connu sous le nom de "Firebrick Ostrich" qui réalise des compromissions de messagerie d'entreprise (BEC) à une échelle quasi-industrielle. Il utilise également une stratégie furtive pour éviter les indices évidents des attaques typiques d'ingénierie sociale.
Depuis avril 2021, Firebrick Ostrich aurait lancé plus de 350 de ces types d'attaques BEC, se faisant passer pour au moins 151 organisations. L'approche du groupe, qui consiste à faire feu de tout bois, permet ce volume d'attaques. En ce qui concerne les cibles, Firebrick Ostrich ne fait pas beaucoup de discrimination et ne recueille pas non plus de renseignements exceptionnels pour élaborer l'appât de phishing parfait. Il lance des fléchettes sur un mur car, apparemment, lorsqu'il s'agit de BEC à grande échelle, c'est tout ce qu'il faut.
Les cibles de l'acteur de la menace étaient toutes basées aux États-Unis, bien que les industries visées semblent être opportunistes. Dans chaque campagne, les attaquants se font passer pour plusieurs employés du fournisseur, dont l'un est généralement le directeur financier de l'entreprise.
Selon Abnormal Security, les acteurs de la menace ne semblent pas suivre un modèle précis, mais ils s'intéressent au commerce de détail et à l'éducation, aux transports et aux soins de santé, et à tout ce qui se trouve entre les deux. Le groupe se spécialise également dans l'usurpation d'identité de tiers, ce qui reflète une évolution de la BEC de manière plus générale, et utilise des recherches de sources ouvertes, telles que l'exploration des sites Web gouvernementaux pour vérifier les informations sur les contrats et les fournisseurs existants, ainsi que le nombre total de fournisseurs.
Une fois que l'attaquant dispose de ces informations, il utilise Namecheap ou Google pour enregistrer un nom de domaine très similaire au domaine légitime du vendeur usurpé. Faute d'informations détaillées sur la relation entre le vendeur et le client, les courriels BEC sont généralement vagues et portent sur un paiement en suspens ou une mise à jour des données de paiement du vendeur.
"Depuis sa création, le BEC est synonyme d'usurpation d'identité du PDG", note Crane Hassold, directeur des renseignements sur les menaces chez Abnormal Security. Mais plus récemment, "les acteurs de la menace ont identifié les tiers comme une sorte de cible facile dans la chaîne d'attaque B2C. Plus de la moitié des attaques B2C que nous voyons maintenant usurpent l'identité de tiers au lieu d'employés internes."
Les sources de cette pièce comprennent un article dans Darkreading.