Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про виявлення цілеспрямованих кібератак, для здійснення яких зловмисники використовували методи фішингу в LinkedIn та видавали себе за інших людей, а також застосовували ефективні прийоми для уникнення виявлення. Очевидно, що метою кіберзлочинців було не тільки шпигунство, а й фінансова вигода. Атаки з використанням зразка шкідливого програмного забезпечення «Inception.dll» відбувалися у вересні-грудні 2019 року. А основними цілями зловмисників стали аерокосмічні та військові компанії в Європі та на Близькому Сході.
Для інфікування цілей кіберзлочинці використовували прийоми соціальної інженерії в LinkedIn, маскуючись за привабливими, але фальшивими пропозиціями про роботу. «Повідомлення було цілком правдоподібною пропозицією про роботу нібито від імені відомої компанії у відповідному секторі. Звичайно, профіль LinkedIn був підробленим, а файли, відправлені в ході спілкування — шкідливими», — коментує Домінік Брайтенбахер, дослідник компанії ESET.
Файли відправлялися за допомогою месенджера в LinkedIn або через повідомлення електронної пошти, яке містило посилання на OneDrive. Для останнього варіанту кіберзлочинці створили облікові записи електронної пошти, які відповідають їх підробленим профілям в LinkedIn.
Після відкриття файлу користувач бачив, здавалося б, звичайний PDF-документ з інформацією про заробітну плату, пов’язану з фальшивою пропозицією роботи. Однак насправді зловмисники інфікували комп'ютер жертви шкідливим програмним забезпеченням.
Серед інструментів зловмисників були складні багатомодульні шкідливі програми, які часто маскувалися під легітимне програмне забезпечення, а також модифіковані версії інструментів з відкритим вихідним кодом. Крім того, кіберзлочинці несанкціоновано використовували існуючі в операційній системі Windows стандартні утиліти для виконання різних шкідливих операцій.
«Атаки, які ми досліджували, показали всі ознаки шпигунства, які вказують на можливий зв'язок з відомою групою кіберзлочинців Lazarus. Однак дослідження та аналіз шкідливих програм не дозволили зрозуміти, на які конкретно файли націлені злочинці», — коментує Домінік Брайтенбахер.
Крім шпигунства, кіберзлочинці використовували скомпрометовані облікові записи для виманювання грошей в інших компаній.
Сценарій атаки від початкового контакту до компрометації
В електронній пошті кіберзлочинці знаходили листування жертви з її клієнтом щодо несплаченого рахунку. У ході розмови зловмисники намагалися переконати клієнта сплатити рахунок —звичайно, вказавши свої банківські дані. Однак, клієнт компанії запідозрив щось та звернувся напряму до жертви за допомогою, таким чином, перешкодивши спробі зловмисників здійснити компрометацію електронної пошти (BEC-атака).
«Ця спроба монетизації доступу до мережі жертви повинна стати ще однією причиною для створення надійного захисту від вторгнень зловмисників та підвищення обізнаності співробітників в питаннях кібербезпеки. Інформування персоналу може допомогти уникнути інфікування подібними загрозами з використанням методів соціальної інженерії», — робить висновок Домінік Брайтенбахер.
Щоб отримати більш детальну інформацію про атаки та ідентифікатори компрометації, перейдіть за посиланням.