Sliedrecht, 17 juni 2020 – Onderzoekers van ESET hebben zeer gerichte cyberaanvallen ontdekt die opmerkelijk zijn door het gebruik van spearphishing via LinkedIn. De aanvallen gebruikten effectieve trucs om onder de radar te blijven en waren, naast spionage, gericht op financieel gewin. De aanvallen vonden plaats van september tot december 2019 en werden door de ESET-onderzoekers Operation In(ter)ception genoemd, een verwijzing naar de gerelateerde malware “Inception.dll”.
De aanvallen die ESET-onderzoekers onderzochten begonnen met een LinkedIn-bericht. “Het bericht was een geloofwaardig aanbod van een baan, dat afkomstig leek te zijn van een bekend bedrijf in een relevante sector. Echter ging het om een nep LinkedIn-profiel en de bestanden die de aanvaller in het chatgesprek stuurde, waren kwaadaardig,” aldus Dominik Breitenbacher, de ESET-malware-onderzoeker die de malware analyseerde en het onderzoek leidde.
De bestanden werden rechtstreeks via LinkedIn-berichten, of via e-mail met een OneDrive-link, verstuurd. In het tweede geval maakten de aanvallers e-mailaccounts aan die overeenkwamen met hun neppe LinkedIn-profielen.
Zodra de ontvanger het bestand opende, werd een schijnbaar onschuldig PDF-document met daarin salarisinformatie voor de zogenaamde baanaanbieding weergegeven. Ondertussen werd er op de achtergrond malware op de computer van het slachtoffer geïnstalleerd. Op deze manier kregen de aanvallers een eerste voet aan de grond en uiteindelijk controle over het systeem.
Vervolgens voerden de aanvallers een reeks stappen uit die de ESET-onderzoekers beschrijven in hun whitepaper “Operation In(ter)ception: Targeted attacks against European aerospace and military companies.” De aanvallers gebruikten als tools onder andere een op maat gemaakte multi-stage-malware die vaak vermomd werd als legitieme software en aangepaste versies van open-source tooling. Daarnaast maakten ze gebruik van zogenaamde “living off the land”-tactieken: het misbruiken van al geïnstalleerde Windows-hulpprogramma’s om verschillende kwaadaardige operaties uit te voeren.
“De aanvallen die we onderzochten vertoonden niet alleen alle tekenen van spionage, maar bevatten ook verschillende hints die een mogelijke link met de beruchte Lazarus-groep suggereren. Noch de malwareanalyse, noch het onderzoek stelde ons echter in staat om inzicht te krijgen in op welke bestanden de aanvallers uit waren,” aldus Breitenbacher.
Naast spionage vonden de ESET-onderzoekers bewijs dat de aanvallers probeerden de gedupeerde accounts te gebruiken om geld te onttrekken van andere bedrijven.
In de e-mails van het slachtoffer vonden de aanvallers communicatie tussen het slachtoffer en een klant met betrekking tot een onopgeloste factuur. Ze volgden het gesprek op en drongen er bij de klant op aan om het openstaande bedrag over te maken - uiteraard naar een bankrekening van de aanvallers. Gelukkig werd de klant van het slachtoffer achterdochtig en vroeg hij het slachtoffer om hulp, waardoor de poging van de aanvallers om een zogenaamde Business Email Compromise (BEC) uit te voeren, werd gedwarsboomd.
“Deze poging om geld te verdienen dankzij toegang tot het netwerk van het slachtoffer, bewijst het nut van zowel een sterke verdediging tegen inbraken, als cybersecuritytrainingen voor medewerkers. Een dergelijke training zou werknemers kunnen helpen om de (nu) nog minder bekende social engineering-technieken te herkennen, zoals die gebruikt in Operation In(ter)ception,” concludeert Breitenbacher.
Lees de whitepaper, “Operation In(ter)ception: Targeted attacks against European aerospace and military companies,” voor meer informatie over de technische aspecten van Operation In(ter)ception.
Over ESET
Al 30 jaar lang ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten voor bedrijven en consumenten over de hele wereld. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf van de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Gesteund door R&D-centra over de hele wereld, is ESET het eerste IT-beveiligingsbedrijf dat 100 Virus Bulletin VB100-awards heeft verdiend, waarmee elke afzonderlijke “in-the-wild” malware zonder onderbreking werd geïdentificeerd sinds 2003. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook en Twitter.