Ученые в сфере кибербезопасности недавно раскрыли новый сложный способ кибершпионажна, направленный на получение данных аэрокосмических и военных организаций в Европе и на Ближнем Востоке. Главной целью подобных действий является шпионаж за важными сотрудниками выбранных фирм и, в некоторых случаях, даже вымогательство денег.
Этот метод мошенничества получил название «Operation In (ter) ception» из-за отсылки к фильму «Начало» во вредоносном ПО. Хакерская атака шла с сентября по декабрь 2019 года, согласно новому отчету о кибербезопасности от организации ESET, которым она поделилась совсем недавно.
Исследователи сообщают, что основной целью операции был шпионаж. Однако в некоторых случаях, которые уже были расследованы, злоумышленники попытались монетизировать доступ к учетной записи электронной почты жертвы с помощью атаки Business email compromise (BEC) в качестве заключительного этапа операции.
Финансовые мотивы атак вместе со сходством в целях и среде разработки заставили организацию ESET начать подозревать в мошеннической деятельности Lazarus Group, уже известную хакерскую команду. Работа этой группы связана с северокорейским правительством, которое планирует получить дополнительные средства для финансирования незаконных оружейных и ракетных программ в стране.
Социальная инженерия с помощью LinkedIn
ESET заявила, что кампания была целенаправленной. В ее основе лежат уловки социальной инженерии для того, чтобы заманить сотрудников, работающих в выбранных организациях, фальшивыми свободными вакансиями с помощью сообщений в LinkedIn. Мошенники выдавали себя за HR-менеджеров известных компаний аэрокосмической и оборонной промышленности, включая Collins Aerospace и General Dynamics.
Как только контакт был установлен, злоумышленники отправляли в переписку вредоносные файлы, замаскировав их под документы, связанные с рекламируемым предложением о работе.
Вредоносные файлы в архиве RAR, которые были непосредственно отправлены через чат или в виде электронных писем, содержали ссылку на OneDrive, где якобы лежал PDF-документ, в котором детально рассказывалось о зарплатах всех сотрудников. На самом же деле этот файл запускал утилиту командной строки Windows для выполнения продуманного ряда действий:
- Переименование ее во что-то «безобидное», чтобы избежать обнаружения (например, Intel, NVidia, Skype, OneDrive, Mozilla)
- Создание запланированной задачи, которая поможет выполнить скрипт XSL удаленно и получить доступ к компьютеру
После успешного прохождения первого этапа хакерам нужно было закрепиться внутри выбранной компании. Они запускали пользовательский загрузчик вредоносных программ, который, в свою очередь, скачивал заранее незарегистрированный файл второй ступени на C++ бэкдор. Он также периодически посылал запросы на подконтрольный злоумышленникам сервер для того, чтобы они смогли выполнять определенные действия на основе полученных команд и переносить информацию в РАР файл с помощью модифицированной версии dbxcl с открытым исходным кодом командной строки клиента для Dropbox.
Помимо использования WMIC для интерпретации удаленных сценариев XSL, мошенники также злоупотребляли собственными утилитами Windows, такими как «certutil», для декодирования загруженных файлов в кодировке base64, а также «rundll32» и «regsvr32» для запуска своих пользовательских вредоносных программ.
Paul Rockwell, глава отдела безопасности LinkedIn говорит, что ресурс активно ищет признаки спонсируемой иностранным государством деятельности и старается быстро принимать меры против подобной деятельности, чтобы защитить своих пользователей. Специальная команда разведки удаляет поддельные учетные записи, используя информацию, полученную из различных источников, включая и правительственные учреждения.
Команда разведки применяет различные автоматизированные технологии в сочетании с обученной командой рецензентов и командой отчетности, чтобы пользователи оставались в безопасности от всех типов атак. Правила ресурса очень просты: создание поддельной учетной записи или мошенническая деятельность с намерением ввести в заблуждение или солгать является нарушением условий предоставления услуг. Команда уже выявила тысячи случаи мошенничества, связанных с созданием поддельных аккаунтов. Были приняты немедленные меры и подобным пользователям полностью ограничили доступ к счетам.
Финансово мотивированные атаки BEC
Помимо разведки, исследователи ESET также обнаружили доказательства того, что злоумышленники пытались использовать скомпрометированные счета для получения денег других компаний.
Несмотря на некоторые неудачи, тактика монетизации сработала: используя существующую электронную переписку между владельцем счета и клиентом компании для оплаты счета на другой банковский счет, находящийся под контролем мошенников.
В рамках этой уловки злоумышленники зарегистрировали доменное имя, идентичное доменному имени скомпрометированной компании, но на другом домене верхнего уровня, и использовали электронную почту, связанную с этим поддельным доменом, для дальнейшего общения с клиентом.
Исследование кампании Operation In(ter)ception еще раз показывает, насколько эффективным может быть целевой фишинг для компрометации данных и получения денежных средств. Мошенники полагались на социальную инженерию с помощью LinkedIn и обычные вредоносные программы. Для того чтобы действовать незаметно, злоумышленники часто перекомпилировали свои программы, злоупотребляли собственными утилитами Windows и выдавали их за официальное программное обеспечение их компании.
Автор переведенной статьи: Ravie Lakshmanan