網絡安全研究人員今天結束了針對歐洲和中東的航空航天和軍事組織的新的複雜網絡間諜活動,其目的是監視目標企業的關鍵雇員,在某些情況下甚至竊取金錢。
根據網絡安全公司ESET與The Hacker News分享的一份新報告顯示,由於在惡意軟體樣本中提及了``盜版'',該活動被稱為``盜版''。該活動於2019年9月至2019年12月進行。研究人員告訴《黑客新聞》說:「這次行動的主要目的是間諜活動。」
「但是,在我們調查的其中一個案例中,攻擊者試圖通過商業電子郵件泄露(BEC)攻擊來通過受害者的電子郵件帳戶獲利,這是該操作的最後階段。」
攻擊背後的經濟動機,以及針對目標和發展環境的相似性,使ESET懷疑Lazarus Group,這是一個臭名昭著的黑客組織,其原因是代表北韓政府致力於為該國的非法武器和飛彈計劃提供資金。
通過領英的社會工程學
ESET表示該活動是針對性很強的活動,它表示利用社交工程技巧,利用LinkedIn的消息傳遞功能誘使那些為提供虛假工作機會的選定公司工作的員工,冒充航空航天和國防工業知名公司的HR經理,包括柯林斯航空航天和通用動力學。
研究人員在對兩家受影響的歐洲公司進行的調查中說:「一旦建立聯繫,攻擊者就會將惡意文件竊取到通訊中,並將它們偽裝成與招聘職位相關的文件。」
誘餌的RAR存檔文件直接通過聊天發送,或者是從假的LinkedIn角色通過指向OneDrive連結的電子郵件直接發送,據稱包含PDF文檔,其中詳細說明了特定職位的薪水信息,實際上,它執行Windows。命令提示符實用程序執行一系列操作:
將Windows Management Instrumentation命令行工具(wmic.exe)複製到特定文件夾
將其重命名為無害的東西以逃避檢測(例如Intel,NVidia,Skype,OneDrive和Mozilla),
以及創建計劃的任務,這些任務通過WMIC執行遠程XSL腳本。
行動的幕後參與者在目標公司內部獲得最初立足點後,便繼續使用自定義惡意軟體下載器,該下載器又下載了先前未記錄的第二階段有效負載-一個C ++後門,可定期將請求發送到攻擊者控制的伺服器,根據收到的命令執行預定義的操作,並通過dbxcli(Dropbox的開源命令行客戶端)的修改版將收集到的信息作為RAR文件進行提取。
攻擊者除了使用WMIC解釋遠程XSL腳本外,還濫用本機Windows實用程序,例如「 certutil」來解碼base64編碼的下載負載,以及「 rundll32」和「 regsvr32」來運行其自定義惡意軟體。「我們積極尋找平台上由國家贊助的活動的跡象,並迅速採取行動對付不良行為者,以保護我們的成員。
我們不等待請求,我們的威脅情報團隊使用我們發現的信息和情報從中刪除假帳戶包括政府機構在內的各種消息來源,」 LinkedIn信任與安全主管Paul Rockwell在發給The Hacker News的一份聲明中說。
「我們的團隊利用各種自動化技術,再加上訓練有素的審核員和成員報告團隊,以確保我們的成員免受各種不良行為的傷害。我們執行非常明確的政策:建立假帳戶或意圖誤導或欺騙我們會員的欺詐活動違反了我們的服務條款,在這種情況下,我們發現了涉及創建虛假帳戶的濫用行為,我們立即採取了行動並永久限制了帳戶」
出於經濟動機的BEC攻擊
除偵查外,ESET研究人員還發現了攻擊者試圖利用受感染帳戶來從其他公司提取資金的證據。
儘管不成功,但是貨幣化策略是通過使用帳戶持有人和公司客戶之間的現有電子郵件通信來將未結髮票結算到他們控制下的另一個銀行帳戶中的。
ESET表示:「作為這種欺詐行為的一部分,攻擊者註冊了與受感染公司相同的域名,但使用了不同的頂級域名,並使用與此假域名相關聯的電子郵件與目標客戶進行進一步溝通。」
最終,目標客戶聯繫到受害者有關可疑電子郵件的正確電子郵件地址,從而挫敗了攻擊者的企圖。研究人員總結說:「我們對「操作性接收」的研究再次表明,魚叉式網絡釣魚可以有效地損害目標利益。
「他們具有很高的針對性,並依靠LinkedIn和自定義的多階段惡意軟體進行社會工程。為了在雷達下運行,攻擊者經常重新編譯其惡意軟體,濫用本機Windows實用程序,並假冒合法軟體和公司。」