DUCKTAIL-attacker kostar offren miljontals kronor

Cyberbrottverksamhet fortsätter att utvecklas och expandera

“DUCKTAIL”, en Vietnam-baserad cyberbrottsverksamhet som upptäcktes av WithSecure (tidigare känt som F-Secure business) tidigare i år, har fortsatt att utvecklas, enligt en ny analys.

Sedan 2021 har DUCKTAIL använt LinkedIn för att rikta in sig på individer och organisationer som använder Facebooks Ads & Business-plattform för att kapa Facebook Business-konton. Efter att en rapport i somras avslöjade DUCKTAILs aktiviteter, har gruppen förändrat sitt arbetssättför att kringgå motåtgärder och samtidigt utöka sin verksamhet.

"Vi ser inga tecken på att DUCKTAIL kommer att sakta ner snart, utan snarare att de utvecklas snabbare inför operativa motgångar. Fram tills nu har det operativa teamet bakom DUCKTAIL varit till synes litet, men det har förändrats,” säger Mohammad Kazem Hassan Nejad, forskare för WithSecure™ Intelligence.

Nyligen observerad DUCKTAIL-aktivitet från början av september visar på flera förändringar i verksamhetshanteringen, inklusive:
• Nya attackvägar för “spear-phishing”, via exempelvis WhatsApp.
• Ändringar av den skadliga programvarans egenskaper mot ett mer robust sätt att hämta e-postadresser, som kontrolleras av angripare, vilket får den skadliga programvaran att se mer trovärdig ut, genom öppnandet av “dummydokument” och videofiler när programvaran körs.
• Kontinuerliga ansträngningar för att undvika motåtgärder, genom att ändra filformat och sammanställning, samt att kontrasignera certifikat.
• Ytterligare resursutveckling och verksamhetsexpansion genom att etablera fler falska företag i Vietnam och inkludera affiliates i verksamheten.

"Ransomware-attacker får mycket uppmärksamhet, men hot som DUCKTAIL kan orsaka betydande ekonomiska och varumärkesrelaterade skador och är inget som kan förbises,” säger Paolo Palumbo, Vice President för WithSecure Intelligence. "Med den ökade aktiviteten, nya affiliates och falska företag förväntar vi oss en ökning av DUCKTAIL-relaterade incidenter under överskådlig framtid."

DUCKTAIL i skyttegravarna
WithSecures incidentrespons-team har hjälpt flera utsatta organisationer att hantera attacker från DUCKTAIL och andra hot riktade mot Facebooks Ads & Business-plattform. Förlusterna från dessa attacker varierade från 100 000–600 000 dollar i reklamkrediter.

Enligt WithSecures Global Head of Incident Response, John Rogers, är den här typen av hot utmanande för företag att hantera på grund av bristen på separation mellan personliga och företagskonton.

"Att använda samma resurser för både privatpersoner och företag kan vara ganska problematiskt. Till exempel kan en undersökning av en möjlig DUCKTAIL-incident kräva loggar om en individs Facebook-historik, vilket kan få många oväntade operativa, etiska och juridiska konsekvenser. Det är en fråga som berör organisationer och deras anställda, varpå de båda måste förstå riskerna i dessa situationer,” säger han.

Försvarare kan vidta följande åtgärder för att skydda sig mot DUCKTAIL och liknande hot:

• Öka medvetenheten om spear-phishing bland användare med tillgång till Facebook/Meta-företagskonton.
• Framtvinga listningar av applikationstillåtelser för att förhindra att okända körbara filer används.
• Använd EDR/EPP-lösningar för att förhindra och upptäcka skadlig programvara i de tidigare stadierna av attackens livscykel.
• Se till att hanterade eller personliga enheter som används med företagets Facebook-konton har grundläggande hygien och skydd på plats.
• Surfa i privat läge för att autentisera varje arbetssession när du kommer åt Facebook Business-konton (så att sessionen glöms bort när den har avslutats, vilket förhindrar att cookies stjäls och missbrukas).
• Följ Metas rekommenderade säkerhetsrutiner.
• Ladda ner och analysera relevanta loggar så snabbt som möjligt när du agerar på en misstänkt incident.

Komplett analys finns tillgänglig på: https://labs.withsecure.com/publications/ducktail-returns

Ytterligare information om DUCKTAIL finns tillgänglig på: https://labs.withsecure.com/publications/ducktail

WithSecure™
Inari Anttila, PR Manager
inari.anttila@withsecure.com
tel. +358438240090

Northern Link PR för WithSecure™
Björn Dahlgren
bjorn@nlpr.se
tel. +46761603760

2022-11-24 - Industritorget

Kontaktinformation

Northern Link PR i Sverige AB

070-598 22 82

Se hemsida

Skicka e-post

Kontakter

Karta

Skriv ut
Tipsa

Postadress
Kungsgatan 60
11122 Stockholm

Besöksadress
Kungsgatan 60
11122 Stockholm

Region
Stockholm
Stockholms län
Sverige

Organisationsnummer:
556834-7198

Grundat: Ej angivet
Anställda: Ej angivet

Kontakter

Karta

Välkommen till Northern Link PR.

Vi hjälper företag med nordiska ambitioner.
När det gäller PR och kommunikation, strävar Northern Link PR att vara det bästa valet för företag med svensk eller helt nordiska ambitioner.

Vi ser vikten av meddelanden, strategi och taktik som är nära i linje med dina affärsmål. Därför har vi etablerat kompetens inom en rad tjänster som kan utvecklas och anpassas beroende på din unika situation.

Välkommen att kontakta oss.

Skicka förfrågan