Verdachte e-mails blijven effectief, maar het gevaar ervan wordt vanuit allerlei kanten bestreden. Hetzelfde geldt niet voor contactformulieren, een hiaat waar de ZipLine-campagne van profiteert.
Check Point Research heeft de campagne in kwestie ontdekt. Hierbij doen aanvallers zich voor als potentiële zakenpartners van legitieme organisaties. In plaats van verdachte e-mails te versturen, gebruiken ze contactformulieren om initieel contact te leggen met doelwitten.
Hierna voldoet zich een zorgvuldig vooruit gepland e-mailgesprek dat zo’n twee weken in beslag neemt. Uiteindelijk delen criminelen een geheimhoudingsdocument, een gebruikelijk iets in menig industrie. Dit bestand bevat echter MixShell-malware die DNS-tunneling gebruikt om onopgemerkt van afstand endpoints te beïnvloeden.
Tip: Zorgsector hard getroffen door cyberaanvallen, phishing neemt toe
Volgens Sergey Shykevich, Threat Intelligence Group Manager bij Check Point Research, toont de campagne dat geduld en social engineering nog altijd effectieve middelen zijn. “ZipLine is een wake-up call voor elk bedrijf dat denkt dat phishing alleen maar om verdachte links in e-mails gaat.”
Supply chains onder druk
De doelwitten zijn voornamelijk Amerikaanse productiebedrijven, maar ook sectoren in Europa en Azië zoals lucht- en ruimtevaart, energie en biotech. De gevolgen kunnen zoals gebruikelijk verder reiken dan individuele organisaties. Immers zijn toeleveringsketens groot en hebben partners veelal data van anderen in handen die gestolen kan worden.
Check Point Software benadrukt dat contactformulieren en collaborationtools als potentiële aanvalspaden moeten worden gezien. Training van medewerkers, vooral in supply chain en inkoop, voor het herkennen van multi-channel phishing wordt cruciaal. Zo bestaan securitytrainingen vermoedelijk uit steeds langere sessies, hoewel de verdachte signalen op zichzelf veelal overeenkomen.
AI-hype als aanvalswapen
Een tweede golf ZipLine-e-mails wordt door de aanvallers gebrachtt als interne AI-impactbeoordelingen, zogenaamd aangevraagd door de directie. Medewerkers krijgen de vraag om een korte vragenlijst in te vullen over de mogelijke invloed van AI op hun workflows.
De criminelen achter ZipLine gaan hierbij verder dan eenmalige phishing-pogingen. Ze maken nepwebsites van bedrijven waarvoor ze zich uitgeven en imiteren soms legitieme, in de VS geregistreerde ondernemingen.
Bedrijven kunnen zich voorbereiden
Een effectieve verdediging vereist uitbreiding van monitoring naar alledaagse communicatiekanalen, aldus Check Point Research. Verificatie van nieuwe zakelijke contacten via onafhankelijke bronnen zoals telefoon en LinkedIn wordt aanbevolen.
Beveiligingstools moeten ZIP-archieven en bijlagen grondig inspecteren. De MixShell-malware gebruikt geavanceerde technieken als DNS-tunneling en HTTP-fallback om externe opdrachten uit te voeren.
Shykevich concludeert dat ZipLine een blauwdruk vormt voor de ontwikkeling van cybercriminaliteit. Door alledaagse bedrijfsprocessen en zakelijk vertrouwen als wapens in te zetten, bewijzen aanvallers dat sociale manipulatie een krachtig middel blijft tegen goed beveiligde organisaties.
Beluister ook onze Techzine Talks-aflevering: