Outlook nalog rukovodioca berze prisluškivan pet meseci - napad sa fokusom na poverljive informacije
Neopaženi napad na Outlook nalog berskog rukovodioca trajao pet meseci sa ciljem krađe poverljivih tržišnih informacija korišćenjem legitimnih cloud servisa.
Šta se desilo?
Visoki rukovodilac jedne od najvećih svetskih berzi imao je Outlook nalog nekontrolisano pristupačan napadačima tokom pet meseci, od oktobra 2025. do barem marta 2026. godine. Napadači su систематски preuzimali sadržaj poštanskog sanduka u malim količinama kako bi izbegли detekciju, ciljajući lične i poverljive informacije bez ulaženja u druge sisteme mreže.
Koga pogađa?
Rizik je posebno veliki za top menadžment finansijskih institucija, berzi i korporacija sa tržišno osetljivim informacijama. Napad pokazuje da su elektronski poštanski sandučići visokih upravnika atraktivni cilj jer sadrže podatke o planiranim listinzima, internim odlukama, calendaru i neblagovremeno objavljenim tržišnim kretanjima. Osim toga, rizik postoji za sve organizacije čiji su ključni zaposlenici potencijalne žrtve sličnih operacija.
Kako se zaštititi?
- Omogućite višefaktorsku autentifikaciju na svim nalogima, posebno za članove rukovstva i pristup osetljivim podacima
- Redovno nadgledajte pristupe e-mail nalogima i tražite sumnjive aktivnosti, особito prijave iz neobičnih lokacija
- Ozbiljno steknite prijave o pokušajima prijavljivanja i anomalijama u ponašanju naloga
- Primenite politike pristupa prema principu najmanjeg privilegija
- Uvesti naprednu zaštitu elektronske pošte sa detektovanjem email-a iz cloud servisa
- Redovno skenirati krajnje tačke za prisustvo złoćnih binarne datoteke i rootkitov
Tehnički detalji
Analitičari iz Symantec Threat Hunter Team-a i Carbon Black identifikovali su da su napadači koristili legitimne cloud servise i javno dostupne alate, čime je gotovo nemoguća atribucija poznatoj grupi napadača. Na mašini žrtve pronađene su dve maskirane binarne datoteke sa SYSTEM-level privilegijama: prva se pretvara da je Adobe update servis (armsvc.exe), a druga imitira Microsoft OneDrive komponentu (oneser). Napadači su tokom pet meseci visestruko obnovljivi pristup i kontinualno adaptirali tehnike kako bi zadržali neometanu komunikaciju. Inicijalni metod pristupa nije potvrđen, ali je do oktobra već bio uspostavljen.
Preporuka Sajber Radara
Organizacije sa tržišno osetljivim informacijama trebaju hitno da pregledaju evidencije pristupa e-mail nalogima rukovodeće strukture i da provere da li je došlo do neovlašćenog pristupa. Posebnu pažnju obratite na cloud servise i aktivnosti tokom perioda koji prekriva ovaj incident, jer su napadači koristili legitimne servise što čini detekciju izuzetno teško.
