近年来,基于社交媒体的间谍活动层出不穷,伪装、伪造、社会工程学等手段也层出不穷。最近,ESET网络安全研究人员发现了一场针对欧洲和中东航空航天和军事组织的网络间谍活动。此次活动背后的攻击者不仅针对航空航天和军事组织的高层人员,还企图获取金钱利益。.间谍活动被称为“盗版行动”,因为它涉及“盗版”恶意软件样本。据悉,该活动活跃于2019年9月至12月,该攻击组织的主要目标是开展间谍活动。在行动的后期,他们试图通过BEC攻击获得对人员电子邮件帐户的访问权限。根据该组织过去的目标和动机,研究人员推测该组织是拉撒路组织,该组织代表朝鲜政府,为该国的非法武器和导弹计划筹集资金。Lazarus组织还因大规模WannaCry勒索软件攻击、2016年的一系列SWIFT攻击以及索尼影业黑客攻击而受到指责。在LinkedIn社交工程之初,这个活动目标明确,针对性强。ESET认为,攻击者利用社会工程技术引诱这些目标组织的员工,冒充知名航空航天和军工企业的HR。通过LinkedIn发送虚假工作列表。研究人员提到:“一旦建立联系,攻击者就会将恶意文件伪装成相关的专业offer发送给对方。”用作诱饵的RAR存档文件直接通过聊天窗口发送,或通过虚假的LinkedIn帐户(指向OneDrive链接)直接发送到电子邮箱,表面上包含详细说明特定职位和薪资信息的PDF文档,当处于事实上,它执行Windows命令提示符实用程序,该实用程序执行一系列操作:将工具(wmic.exe)复制到特定文件夹;伪装名称以逃避检测(例如,Intel、NVidia、Skype、OneDrive和Mozilla);创建通过WMIC执行远程XSL脚本的计划任务。一旦攻击者完成了针对目标企业的第一步,他们就会继续使用自定义恶意软件下载器下载先前未记录的第二阶段有效负载,这是一个定期向攻击者发送请求的C++后门。受控服务器根据接收命令,并通过dbxcli的修改版本将收集到的信息提取为RAR文件,dbxcli是dropbox的开源命令行客户端。除了使用WMIC解释远程XSL脚本外,攻击者还滥用原生Windows实用程序,例如“certutil”来解码base64编码的下载有效负载,以及“rundll32”和“regsvr32”来运行他们的自定义恶意软件。“目前,黑客组织是国家间谍的证据还在搜查中。当然,我们不会坐以待毙,已经开始删除一些假账号。”LinkedIn安全部门负责人说。经济动机引发的BEC攻击不仅要窃取相关人员的账户和信息,而且攻击者还试图利用被感染的账户窃取公司资金。首先,攻击者利用受害者电子邮件中的现有通信,试图操纵目标公司的客户向他们的银行账户支付待处理的发票。为了与客户进一步沟通,他们使用自己的电子邮件地址冒充受害者的电子邮件地址。幸运的是,这个计划没有成功。该组织依靠LinkedIn和定制的多阶段恶意软件进行社会工程。为完成此计划,攻击者通常会重新编译他们的恶意软件、滥用本机Windows实用程序并冒充合法软件和公司。
