19 czerwca 2020

Operation In(ter)ception: Zaczynało się od wiadomości na LinkedIn, kończyło na pieniądzach i tajnych informacjach

Badacze ESET odkryli nową kampanię, w ramach której przestępcy wykorzystywali wyszukane techniki spearphishingowe w kombinacji z autorskim, zaawansowanym złośliwym oprogramowaniem. Na celowniku hakerów znalazły się firmy związane z branżą lotniczą i zbrojeniową, a w całej operacji można dostrzec powiązania z grupą Lazarus.

Eksperci ds. cyberbezpieczeństwa zidentyfikowali serię cyberataków, wykorzystującej LinkedIn, by dotrzeć do potencjalnych ofiar oraz wykorzystującej kilka skutecznych trików, pozwalających uniknąć wykrycia. Ich celem miało być wyłudzenie pieniędzy oraz szpiegostwo. Ataki, którym eksperci ESET nadali nazwę Operation In(ter)ception ze względu na powiązaną z nimi próbkę „inecption.dll”, miały miejsce od września do grudnia 2019 roku.

Analizowane przez ESET ataki rozpoczynały się od prywatnej wiadomości na portalu LinkedIn.

- Wiadomość zawierała wiarygodną ofertę pracy, rzekomo dla znanej firmy oraz w sektorze mieszczącym się w obszarze zainteresowań potencjalnej ofiary. Oczywiście profil na LinkedIn, z którego została wysłana, nie był prawdziwy, a przekazane w ramach komunikacji pliki były zainfekowane – komentuje Dominik Breitenbacher, analityk zagrożeń w ESET odpowiedzialny za analizę próbki, która dała początek śledztwu.

Pliki były przysłane bezpośrednio w wiadomości na portalu LinkedIn lub za pośrednictwem wiadomości e-mail zawierających link do chmury OneDrive. W tym drugim przypadku napastnicy wykorzystywali utworzone specjalnie w tym celu konta pocztowe, odpowiadające ich fikcyjnej tożsamości na LinkedIn. W chwili otwarcia pliku oczom odbiorcy ukazywał się pozornie nieszkodliwy plik PDF z informacjami na temat wynagrodzenia oferowanego w ramach fałszywej posady. W tym samym czasie aktywowany został jednak złośliwy kod, który infekował komputer ofiary. W ten sposób napastnicy zapewniali sobie stały dostęp do systemu.

W dalszej kolejności przestępcy wykonywali szereg kroków opisanych przez badaczy ESET w dokumencie „Operation In(ter)ception: Targeted attacks against European aerospace and military companies.” (EN) Wśród wykorzystywanych przez nich narzędzi znajdował się zaawansowany wieloetapowy wirus, który podszywał się pod popularne niegroźne oprogramowanie, oraz zmodyfikowane wersje programów open-source. Dodatkowo przestępcy do części swoich operacji stosowali wbudowane narzędzia systemu Windows.

- Analiza ataków wskazuje, że mają one na celu szpiegostwo. Kilka obserwacji pozwala nawet pójść o krok dalej, sugerując powiązania z niesławną grupą Lazarus. Niestety ani w toku analizy malware, ani dalszego śledztwa nie udało się ustalić jakie pliki były obiektem zainteresowania przestępców

Dominik Breitenbacher
ESET

Jednak przestępcom zależało nie tylko na poufnych informacjach. W trakcie swojego śledztwa badacze znaleźli dowody wskazujące na próby wykorzystania przejętych kont do wyłudzania pieniędzy od innych organizacji.

Napastnicy przeszukiwali korespondencję pomiędzy ofiarą i jej klientami, szukając wiadomości dotyczących niezrealizowanych faktur. W następnej kolejności wysyłali do klienta ponaglenie z żądaniem natychmiastowego uiszczenia płatności poprzez wykonanie przelewu na wskazane przez nich konto bankowe. Na szczęście w jednym ze zidentyfikowanych przez nas przypadków takiego incydentu klient nabrał podejrzeń i skontaktował się z zainfekowaną firmą, dzięki czemu próba wyłudzenia zakończyła się niepowodzeniem.

- Opisana próba zmonetyzowania dostępu do sieci ofiary powinna stanowić argument za wdrażaniem skutecznych środków ochrony przeciwko włamaniom oraz szkolenia pracowników z zakresu cyberbezpieczeństwa. Stosowna edukacja pomoże im rozpoznać stosowane przez przestępców techniki socjotechniczne, takie jak te wykorzystane w omawianym ataku – podsumowuje Dominik Breitenbacher z ESET.

Więcej informacji na temat Operation In(ter)ception można znaleźć na blogu WeLiveSecurity (EN) oraz w specjalnie przygotowanym raporcie „Operation In(ter)ception: Targeted attacks against European aerospace and military companies” (EN)

Autorem tekstu jest Arkadiusz Bała

Grzegorz Klocek

Grzegorz Klocek
senior product manager ESET

Masz pytania?
Skontaktuj się ze mną:
klocek.g@dagma.pl
32 259 11 34

Podobne wpisy: