DUCKTAIL-malwaren, skabt af hackergruppen med samme navn, blev i sommeren 2022 afsløret af sikkerhedsvirksomheden, WithSecure.
Nu fastslår en ny rapport fra WithSecure, at DUCKTAIL udvider angrebene med nye metoder.
Siden 2021 har DUCKTAIL-gruppen angrebet brugere og virksomheder gennem LinkedIn med en speciel funktion, der kaprer Facebook Business-konti. Efter WithSecures kortlægning af DUCKTAIL-malwaren i sommeren 2022 har gruppen ændret deres angrebstaktik for at undvige sikkerhedsforanstaltninger og udvide deres aktiviteter.
“Vi ser ingen tegn på, at DUCKTAIL-gruppen har mistet pusten. Tværtimod. De angriber med nye metoder og med fornyet intensitet. Tidligere var deres operationelle kapacitet forholdsvis lille, men sådan forholder det sig ikke længere,” siger Mohammad Kazem Hassan Nejad, der er researcher hos WithSecure Intelligence.
Nye DUCKTAIL-aktiviteter
Siden starten af september 2022 har WithSecure registreret flere ændringer i gruppens angrebstaktikker. Det gælder f.eks.:
- Målrettede spear-phishing angreb gennem sociale medier, gruppen ikke før har anvendt, f.eks. WhatsApp.
- Opdaterede malware, der indsamler og overtager flere e-mailadresser, fordi malwaren ser mere legitim ud med vedhæftninger, der ligner reelle filer.
- Kontinuerlige forsøg på at omgå it-sikkerhedsforanstaltninger ved at anvende nye filformater, kendte filkomprimeringstyper og kontrasigneringscertifikater.
- Øget operationel kapacitet ved at etablere nye falske virksomheder og integrere flere selskaber i driften.
“Ransomwareangreb får masser af opmærksomhed, men trusler som DUCKTAIL-malwaren kan være forbundet med væsentlige økonomiske og brandmæssige omkostninger og må ikke ignoreres. Vi forventer flere DUCKTAIL-relaterede angreb i nær fremtid, fordi vi kan se øget operationel kapacitet, fornyede angreb og flere nye tilknyttede falske virksomheder og selskaber,” fortæller Jesper Gerved, som er WithSecures danske landechef.
DUCKTAIL er svær at håndtere
WithSecures incident response teams har hjulpet adskillige ramte virksomheder med at reagere på DUCKTAIL-angreb og andre trusler rettet mod virksomhedernes Facebook Ads & Business Platform. De enkelte angreb har kostet virksomhederne mellem en til fire millioner kroner i tabte annonceringscredits, der bruges som betaling på bl.a. Facebooks annonceringsside.
Ifølge WithSecures Global Head of Incident Response, John Rogers, er denne type trusler særligt svære at håndtere, fordi DUCKTAIL udnytter, at adgangen til virksomhedernes profiler på sociale medier i størstedelen af tilfældene er gennem medarbejderes personlige konti.
“Brugen af de samme adgange til både virksomhedsprofiler og private profiler kan være ret problematisk. For eksempel kan efterforskningen af et DUCKTAIL-angreb på virksomheden kræve adgang til medarbejdernes personlige aktivitetshistorik, hvilket kan medføre operationelle, etiske og juridiske udfordringer. Det vedrør derfor i høj grad både virksomheden og medarbejderne, som begge skal forstå risikoen i disse situationer,” siger John Rogers.
Virksomheder kan tage følgende skridt for at forsvare sig mod DUCKTAIL og lignende trusler:
- Øg fokus på spear-phishing blandt brugere med adgang til Facebook Business-konti.
- Skab et overblik over tilladte applikationer med application allow listing for at undgå, at ukendte filer, programmer og processer bliver eksekveret.
- Brug EDR/EPP-løsninger til at forhindre og opdage malware i de tidlige faser af et angreb.
- Sørg for, at managed og private enheder, som bruges sammen med virksomhedens Facebook-konti, er beskyttet med basale sikkerhedsløsninger og generel god cyber-hygiejne.
- Brug privat browsing, når der arbejdes med Facebook Business-konti. Så bliver sessionerne ikke gemt efter afslutning, hvilket forhindrer, at cookies stjæles og misbruges.
- Følg Metas anbefalede sikkerhedsrutiner.
- Download og analysér relevante logs så hurtigt som muligt, når der reageres på mistænkelige aktiviteter.
