Хакеры атакуют работников космической и оборонной отрасли, выдавая себя за HR-менеджеров

Дата: 18.06.2020. Автор: Игорь Б. Категории: Статьи по информационной безопасности
Хакеры атакуют работников космической и оборонной отрасли, выдавая себя за HR-менеджеров

Ученые в сфере кибербезопасности недавно раскрыли новый сложный способ кибершпионажна, направленный на получение данных аэрокосмических и военных организаций в Европе и на Ближнем Востоке. Главной целью подобных действий является шпионаж за важными сотрудниками выбранных фирм и, в некоторых случаях, даже вымогательство денег.

Этот метод мошенничества получил название «Operation In (ter) ception» из-за отсылки к фильму «Начало» во вредоносном ПО. Хакерская атака шла с сентября по декабрь 2019 года, согласно новому отчету о кибербезопасности от организации ESET, которым она поделилась совсем недавно.

Исследователи сообщают, что основной целью операции был шпионаж. Однако в некоторых случаях, которые уже были расследованы, злоумышленники попытались монетизировать доступ к учетной записи электронной почты жертвы с помощью атаки Business email compromise (BEC) в качестве заключительного этапа операции.

Финансовые мотивы атак вместе со сходством в целях и среде разработки заставили организацию ESET начать подозревать в мошеннической деятельности Lazarus Group, уже известную хакерскую команду. Работа этой группы связана с северокорейским правительством, которое планирует получить дополнительные средства для финансирования незаконных оружейных и ракетных программ в стране.

Социальная инженерия с помощью LinkedIn

ESET заявила, что кампания была целенаправленной. В ее основе лежат уловки социальной инженерии для того, чтобы заманить сотрудников, работающих в выбранных организациях, фальшивыми свободными вакансиями с помощью сообщений в LinkedIn. Мошенники выдавали себя за HR-менеджеров известных компаний аэрокосмической и оборонной промышленности, включая Collins Aerospace и General Dynamics.

Хакеры атакуют работников космической и оборонной отрасли, выдавая себя за HR-менеджеров

Как только контакт был установлен, злоумышленники отправляли в переписку вредоносные файлы, замаскировав их под документы, связанные с рекламируемым предложением о работе.

Вредоносные файлы в архиве RAR, которые были непосредственно отправлены через чат или в виде электронных писем, содержали ссылку на OneDrive, где якобы лежал PDF-документ, в котором детально рассказывалось о зарплатах всех сотрудников. На самом же деле этот файл запускал утилиту командной строки Windows для выполнения продуманного ряда действий:

  • Копирование утилиты Windows Management Instrumentation command-line (wmic.exe) в определенную папку
  • Переименование ее во что-то «безобидное», чтобы избежать обнаружения (например, Intel, NVidia, Skype, OneDrive, Mozilla)
  • Создание запланированной задачи, которая поможет выполнить скрипт XSL удаленно и получить доступ к компьютеру

После успешного прохождения первого этапа хакерам нужно было закрепиться внутри выбранной компании. Они запускали пользовательский загрузчик вредоносных программ, который, в свою очередь, скачивал заранее незарегистрированный файл второй ступени на C++ бэкдор. Он также периодически посылал запросы на подконтрольный злоумышленникам сервер для того, чтобы они смогли выполнять определенные действия на основе полученных команд и переносить информацию в РАР файл с помощью модифицированной версии dbxcl с открытым исходным кодом командной строки клиента для Dropbox.

Помимо использования WMIC для интерпретации удаленных сценариев XSL, мошенники также злоупотребляли собственными утилитами Windows, такими как «certutil», для декодирования загруженных файлов в кодировке base64, а также «rundll32» и «regsvr32» для запуска своих пользовательских вредоносных программ.

Paul Rockwell, глава отдела безопасности LinkedIn говорит, что ресурс активно ищет признаки спонсируемой иностранным государством деятельности и старается быстро принимать меры против подобной деятельности, чтобы защитить своих пользователей. Специальная команда разведки удаляет поддельные учетные записи, используя информацию, полученную из различных источников, включая и правительственные учреждения.

Команда разведки применяет различные автоматизированные технологии в сочетании с обученной командой рецензентов и командой отчетности, чтобы пользователи оставались в безопасности от всех типов атак. Правила ресурса очень просты: создание поддельной учетной записи или мошенническая деятельность с намерением ввести в заблуждение или солгать является нарушением условий предоставления услуг. Команда уже выявила тысячи случаи мошенничества, связанных с созданием поддельных аккаунтов. Были приняты немедленные меры и подобным пользователям полностью ограничили доступ к счетам.

Финансово мотивированные атаки BEC

Помимо разведки, исследователи ESET также обнаружили доказательства того, что злоумышленники пытались использовать скомпрометированные счета для получения денег других компаний.

Хакеры атакуют работников космической и оборонной отрасли, выдавая себя за HR-менеджеров

Несмотря на некоторые неудачи, тактика монетизации сработала: используя существующую электронную переписку между владельцем счета и клиентом компании для оплаты счета на другой банковский счет, находящийся под контролем мошенников.

В рамках этой уловки злоумышленники зарегистрировали доменное имя, идентичное доменному имени скомпрометированной компании, но на другом домене верхнего уровня, и использовали электронную почту, связанную с этим поддельным доменом, для дальнейшего общения с клиентом.

Исследование кампании Operation In(ter)ception еще раз показывает, насколько эффективным может быть целевой фишинг для компрометации данных и получения денежных средств. Мошенники полагались на социальную инженерию с помощью LinkedIn и обычные вредоносные программы. Для того чтобы действовать незаметно, злоумышленники часто перекомпилировали свои программы, злоупотребляли собственными утилитами Windows и выдавали их за официальное программное обеспечение их компании.

Автор переведенной статьи: Ravie Lakshmanan

Об авторе Игорь Б

Представитель редакции CISOCLUB. Добавляю статьи на сайт.
Читать все записи автора Игорь Б

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *