Oggi i ricercatori di cybersecurity si sono sbarazzati di una nuova sofisticata campagna di cyber-spionaggio diretta contro le organizzazioni aerospaziali e militari in Europa e Medio Oriente con l’obiettivo di spiare i dipendenti chiave delle aziende interessate e, in alcuni casi, persino di sottrarre denaro.
La campagna, soprannominata ” Operazione in (ter) ception ” a causa di un riferimento a “Inception” nell’esempio di malware, si è svolta tra settembre e dicembre 2019, secondo un nuovo rapporto che la società di sicurezza informatica ESET ha condiviso con The Hacker News.
“L’obiettivo principale dell’operazione era lo spionaggio”, hanno detto i ricercatori a The Hacker News. “Tuttavia, in uno dei casi su cui abbiamo indagato, gli aggressori hanno cercato di monetizzare l’accesso all’account di posta elettronica di una vittima attraverso un attacco di compromissione della posta elettronica aziendale (BEC) come fase finale dell’operazione”.
La motivazione finanziaria alla base degli attacchi, unita alle somiglianze nell’ambiente di targeting e di sviluppo, ha portato ESET a sospettare Lazarus Group , un noto gruppo di hacking che è stato attribuito a lavorare per conto del governo nordcoreano per finanziare i programmi illeciti di armi e missili del paese.
Ingegneria sociale tramite LinkedIn
Dichiarando che la campagna era altamente mirata, ESET ha affermato di fare affidamento su trucchi di ingegneria sociale per attirare i dipendenti che lavorano per le aziende prescelte con offerte di lavoro false utilizzando la funzione di messaggistica di LinkedIn, ponendosi come manager delle risorse umane di aziende ben note nel settore aerospaziale e della difesa, tra cui Collins Aerospace e General Dynamics.
“Una volta stabilito il contatto, gli aggressori hanno nascosto file dannosi nella comunicazione, nascondendoli come documenti relativi all’offerta di lavoro pubblicizzata”, hanno detto i ricercatori, sulla base di un’indagine con due delle aziende europee interessate.
I file di archivio RAR di esca, che sono stati inviati direttamente sulle chat o come e-mail inviate dai loro falsi personaggi LinkedIn che puntavano a un collegamento OneDrive, presumevano contenere un documento PDF che dettagliava le informazioni sullo stipendio di posizioni di lavoro specifiche, quando in realtà eseguiva Windows ‘ Utilità Prompt dei comandi per eseguire una serie di azioni:
- Copia lo strumento da riga di comando di Strumentazione gestione Windows ( wmic.exe ) in una cartella specifica
- Rinominalo in qualcosa di innocuo per eludere il rilevamento (ad es. Intel, NVidia, Skype, OneDrive e Mozilla) e
- Crea attività pianificate che eseguono uno script XSL remoto tramite WMIC.
Gli attori dietro l’operazione, dopo aver ottenuto un punto d’appoggio iniziale all’interno dell’azienda target, hanno continuato a utilizzare un downloader di malware personalizzato, che a sua volta ha scaricato un payload di secondo livello precedentemente non documentato – una backdoor C ++ che invia periodicamente richieste a un server controllato dagli aggressori , eseguire azioni predefinite in base ai comandi ricevuti ed esfiltrare le informazioni raccolte come file RAR tramite una versione modificata di dbxcli , un client da riga di comando open source per Dropbox.
Oltre a utilizzare WMIC per interpretare gli script XSL remoti, gli avversari hanno anche abusato delle utility native di Windows come “certutil” per decodificare payload scaricati con codifica base64 e “rundll32” e “regsvr32” per eseguire il loro malware personalizzato.
“Cerchiamo attivamente segni di attività sponsorizzate dallo stato sulla piattaforma e prendiamo rapidamente provvedimenti contro i cattivi attori al fine di proteggere i nostri membri. Non aspettiamo richieste, il nostro team di intelligence sulle minacce rimuove account falsi utilizzando le informazioni che scopriamo e le informazioni da cui una varietà di fonti, tra cui agenzie governative “, ha dichiarato Paul Rockwell, Responsabile della fiducia e della sicurezza di LinkedIn in una dichiarazione inviata a The Hacker News.
“I nostri team utilizzano una varietà di tecnologie automatizzate, combinate con un team qualificato di revisori e reportistica dei membri, per proteggere i nostri membri da tutti i tipi di cattivi attori. Facciamo rispettare le nostre politiche, che sono molto chiare: la creazione di un account falso o attività fraudolente con l’intenzione di indurre in errore o mentire ai nostri membri è una violazione dei nostri termini di servizio. In questo caso, abbiamo scoperto casi di abuso che hanno comportato la creazione di account falsi. Abbiamo intrapreso un’azione immediata in quel momento e limitato permanentemente gli account “
Attacchi BEC motivati ​​finanziariamente
Oltre alla ricognizione, i ricercatori di ESET hanno anche trovato prove di aggressori che tentavano di sfruttare i conti compromessi per estrarre denaro da altre società .
Sebbene non abbia avuto successo, la tattica di monetizzazione ha funzionato utilizzando le comunicazioni di posta elettronica esistenti tra il titolare del conto e un cliente dell’azienda per saldare una fattura in sospeso su un altro conto bancario sotto il loro controllo.
“Come parte di questo stratagemma, gli aggressori hanno registrato un nome di dominio identico a quello dell’azienda compromessa, ma su un dominio di primo livello diverso e hanno utilizzato un’e-mail associata a questo dominio falso per ulteriori comunicazioni con il cliente target”, ha affermato ESET .
Alla fine, il cliente preso di mira ha contattato l’indirizzo e-mail corretto della vittima riguardo alle e-mail sospette, vanificando così il tentativo degli aggressori.
“La nostra ricerca sull’operazione In (ter) ception dimostra ancora una volta l’efficacia dello spear-phishing per compromettere un obiettivo di interesse”, hanno concluso i ricercatori.
“Erano altamente mirati e si basavano su social engineering su LinkedIn e malware personalizzato a più livelli. Per operare sotto il radar, gli aggressori spesso ricompilavano il loro malware, abusavano delle utility native di Windows e impersonavano software e aziende legittime”.
About Author
