О группировке Crimson Kingsnake стало известно благодаря аналитикам Abnormal Security. Впервые с киберпреступниками специалисты столкнулись в марте 2022 года, когда обнаружили 92 домена злоумышленников, которые были крайне похожи на настоящие сайты крупных юридических фирм.
Выдавая себя за юристов, хакеры и по сей день рассылают поддельные счета за просроченную оплату услуг, якобы оказанных фирмам-получателям некоторое время назад. Кроме того, злоумышленники используют адреса электронной почты, которые крайне похожи на оригинальные, а также профессионально оформляют письма: с логотипами и бланками юридических организаций, за которые пытаются выдать себя.
Поддельные счета и реквизиты, отправляемые жертвам.
В число юридических фирм, за которые выдает себя Crimson Kingsnake, входят:
Allen & Overy
Clifford Chance
Deloitte
Dentons
Eversheds Sutherland
Herbert Smith Freehills
Hogan Lovells
Kirkland & Ellis
Lindsay Hart
Manix Law Firm
Monlex International
Morrison Foerster
Simmons & Simmons
Sullivan & Cromwell
Такой подход создает прочную основу для BEC-атак, поскольку получателей чаще всего пугают письма от лица крупных юридических фирм, за которые выдают себя мошенники.
У группировки необычная техника атаки, которую специалисты Abnormal Security назвали BEC-атаками вслепую – хакеры рассылают письма случайным жертвам, пытаясь зацепить как можно больше пользователей. Если кто-то из получателей попадается на приманку и запрашивает дополнительную информацию о счете, злоумышленники отвечают, предоставляя жертве поддельное описание предоставленной услуги.
В случае, если пользователь колеблется, мошенники маскируются под руководителя компании, на которую направлена атака и “разрешают” сотруднику продолжить оплату несуществующих счетов.
Источник: SecurityLab