Takie ataki zawsze zaczynają się niewinnie. Pracownik firmy dostaje prywatną wiadomość na LinkedIn. Myśli, że to propozycja pracy u konkurencji, a tak naprawdę to malware w dokumencie.
Analitycy z firmy ESET rozpracowali złożone działania cyberprzestępców, prawdopodobnie powiązanych z dobrze znaną grupą Lazarus. W ataku wykorzystywany jest kierowany atak phishingowy (spearphishing) oraz specjalnie do tego przygotowany, wieloetapowy malware. Nawet cel ataku jest interesujący – cyberprzestępcy starali się zdobyć zarówno dane techniczne, jak i pieniądze.
To mogła być każda inna platforma społecznościowa, ale zwyczajowo oferty pracy wysyłane są na LinkedIn. Do wybranych pracowników firm z branży lotniczej i pokrewnych wysyłane były fałszywe oferty pracy w Collins Aerospace lub General Dynamics. Wiadomości pełne były komplementów, które miały uśpić czujność ofiary ataku. Cyberprzestępcy dobrze to sobie wymyślili. Nawet jeśli kierownictwo dowie się o włamaniu, nikt się od razu nie przyzna, że był zainteresowany pracą u konkurencji.
Zobacz: Smishing, czyli ataki przez SMS, są coraz większym zagrożeniem. Raport CERT Orange
Specjaliści z ESET pokazali jedną z takich rozmów. Są tam drobne błędy gramatyczne, ale toną w morzu komplementów. Kto by nie chciał być uważany za „niezawodną elitę”…
Jeśli pracownik jest zainteresowany, może otrzymać plik z informacjami o firmie, rekrutacji i oczywiście o potencjalnych zarobkach. Nawet jeśli ofiara nie jest przekonana do zmiany pracy, na pewno zainteresuje się pensjami u konkurencji.
Zobacz: Phishing dobry na wszystko? Niemiecki rząd przelał miliony euro oszustom
Ofiara otrzyma link do OneDrive do pliku chronionego hasłem, a następnie hasło do niego. Plik trzeba otworzyć na Windowsie, najlepiej w Internet Explorerze. W dokumencie kryje się oczywiście szkodliwe makro, które ściągnie malware. Dopiero tu zaczyna się techniczny etap ataku. Wcześniej obserwowaliśmy tylko manipulację.
Operacja została przez specjalistów nazwana In(ter)cepcja od próbki szkodliwego oprogramowania Inception.dll, które było aktywne między wrześniem i grudniem 2019 roku.
Gdy pierwszy etap ataku zostanie zakończony, cyberprzestępcy mają stabilną pozycję w systemie ofiary. W kolejnych etapach wykorzystują specjalnie do tego przygotowane szkodliwe komponenty, udające istniejące programy: narzędzia dla laptopów Della, Skype, klienta OneDrive, sterowniki Nvidii i tym podobne. To wszystko programy, które z dużym prawdopodobieństwem mogą znaleźć się na służbowym laptopie pracownika większej firmy. Możliwe, że cyberprzestępcy wcześniej zrobili rekonesans i dowiedzieli się, z jakiej marki latopów korzystają przyszłe ofiary. W ataku biorą udział także zmodyfikowane narzędzia open source.
Atakujący stosują również taktykę living off the land i używają wbudowanych narzędzi Windowsa do własnych celów.
Zobacz: Polska Grupa Zbrojeniowa "oddała" hakerom 4 mln złotych. Phishing działa na każdego
Większość pracy nad tą kampanią przeprowadził Dominik Breitenbacher, analityk z firmy ESET. Breitenbacher zaznaczył, że kampania wygląda jak działania szpiegowskie grupy Lazarus. To robocza nazwa północnokoreańskiego zespołu (lub kilku zespołów), który stoi między innymi za kampanią WannaCry i atakiem na Sony Entertainment. Nie ma jednak twardych dowodów, pozwalających jednoznacznie zidentyfikować cyberprzestępców. Eksperci bazują na podobieństwach w kodzie źródłowym, znacznikach czasowych, sygnaturach systemu i tym podobnych cechach ataku.
Specjalistom nie udało się też określić, które pliki były celem cyberszpiegów. Prawdopodobnie chodziło o pilnie strzeżoną dokumentację techniczną. Odnotowany został też przypadek zwyczajnego wyłudzenia. Przestępcom udało się wydobyć informacje o niezapłaconych fakturach z korespondencji. Do dłużnika wysłali więc fałszywe ponaglenia z własnym numerem konta. Na szczęście nikt się na to nie nabrał.
Zobacz: Programy antywirusowe miały poważną lukę. 28 aplikacji stanowiło zagrożenie
Szczegóły przedstawił Jean-Ian Boutin podczas konferencji ESET Virtual World. Analityk powiedział nam również, że kampania jest wciąż aktywna. Głównym obszarem jej działań są nasi najbliżsi sąsiedzi z Europy Wschodniej.
Źródło zdjęć: ESET
Źródło tekstu: ESET, wł.
