Компания ESET — лидер в области информационной безопасности — сообщает об обнаружении целенаправленных кибератак, для осуществления которых злоумышленники использовали методы фишинга в LinkedIn и выдавали себя за других людей, а также применяли эффективные приемы во избежание обнаружения. Очевидно, что целью киберпреступников был не только шпионаж, но и финансовая выгода. Атаки с использованием образца вредоносного программного обеспечения «Inception.dll» происходили в сентябре-декабре 2019 года. А основными целями злоумышленников стали аэрокосмические и военные компании в Европе и на Ближнем Востоке.
Для заражения целей киберпреступники использовали приемы социальной инженерии в LinkedIn, маскируясь под привлекательными, но фальшивыми предложениями о работе. «Сообщение было вполне правдоподобным предложением о работе якобы от имени известной компании в соответствующем секторе. Конечно, профиль LinkedIn был поддельным, а файлы, отправленные в ходе общения — вредоносными», — комментирует Доминик Брайтенбахер, исследователь компании ESET.
Файлы отправлялись с помощью мессенджера в LinkedIn или через сообщения электронной почты, которое содержало ссылку на OneDrive. Для последнего варианта киберпреступники создали учетные записи электронной почты, которые соответствуют их поддельным профилям в LinkedIn.
После открытия файла пользователь видел, казалось бы, обычный PDF-документ с информацией о заработной плате, связанной с фальшивым предложением работы. Однако на самом деле злоумышленники заражали компьютер жертвы вредоносным программным обеспечением.
Среди инструментов злоумышленников были сложные многомодульные вредоносные программы, которые часто маскировались под легитимное программное обеспечение, а также модифицированные версии инструментов с открытым исходным кодом. Кроме того, киберпреступники несанкционированно использовали существующие в операционной системе Windows стандартные утилиты для выполнения различных вредоносных операций.
«Атаки, которые мы исследовали, показали все признаки шпионажа, которые указывают на возможную связь с известной группой киберпреступников Lazarus. Однако исследования и анализ вредоносных программ не позволили понять, на какие именно файлы нацелены преступники», — комментирует Доминик Брайтенбахер.
Кроме шпионажа, киберпреступники использовали скомпрометированные учетные записи для выманивания денег у других компаний.
Сценарий атаки от первоначального контакта до компрометации
В электронной почте киберпреступники нашли переписку жертвы с ее клиентом по поводу неуплаченного счета. В ходе разговора злоумышленники пытались убедить клиента оплатить счет — конечно, указав свои банковские данные. Однако, клиент компании заподозрил что-то и обратился напрямую к жертве за помощью, таким образом, помешав попытке преступников осуществить компрометацию электронной почты (BEC-атака).
«Эта попытка монетизации доступа к сети жертвы должна стать еще одной причиной для создания надежной защиты от вторжений злоумышленников и повышения осведомленности сотрудников в вопросах кибербезопасности. Информирование персонала может помочь избежать заражения подобными угрозами с использованием методов социальной инженерии», — делает вывод Доминик Брайтенбахер.
Чтобы получить более подробную информацию об атаках и идентификаторах компрометации, перейдите по ссылке.