Неизвестная группа киберпреступников совершает атаки на поставщиков военной и аэрокосмической продукции в Европе и в странах Ближнего Востока. Хакеры шпионят за деятельностью компаний, крадут конфиденциальные данные и денежные средства со счетов организаций.
Для осуществления своих действий киберпреступники активно пользуются сервисом LinkedIn – они рассылают фейковые предложения о занятости от лица крупных организаций и компаний военной, космической отраслей.
ИБ-специалисты из ESET уверены, что атаки через LinkedIn – это лишь часть крупномасштабной киберпреступной операции, которая, несмотря на явные шпионские мотивы, реализуется для получения финансовой выгоды.
Хакеры высылают через LinkedIn жертвам заархивированные RAR-папки, в которых содержится файл с расширением LNK. Если открыть этот файл, пользователь видит перед собой стандартный PDF-документ с данными о предложенной заработной платы.
Но с PDF-документом одновременно запускается утилита командной строки, которая создавала отложенную задачу – запуск удаленного скрипта XSL. После начала работы этот скрипт запускает скачивание вредоносного софта, который шифруется по алгоритму base64. Расшифровка скачанных данных производится с помощью утилиты Windows Certutil, которая предназначается для решения разных задач по проверке сертификатов безопасности программного обеспечения. После этого выполнялся запуск утилиты rundll32, чтобы загрузить и запустить вредоносную библиотеку, которая использовала команду PowerShell.
Основной целью киберпреступников является сервер Active Directory, который позволял им получить перечень работников организации, в т. ч. и IT-специалистов, на чьи учетные записи в дальнейшем проводились брутфорс-атаки.
Исследователи из ESET отметили: «Если судить по должностям атакованных сотрудников, киберпреступники хотят получить как можно больше деловых сведений и технических данных. Также мы установили, что хакеры пользуются уникальным и неизвестным до сегодняшнего дня вредоносным программным обеспечением, которое, помимо всего прочего, постоянно перекомпилируется. Киберпреступники нацелены на организации военной и космической отраслей – для шпионажа это идеальные объекты».
