Operation In(ter)ception: o operațiune care a debutat cu un simplu mesaj pe LinkedIn având însă drept scop spionajul și obținerea de câștiguri financiare

2020-06-17

Cercetătorii ESET au descoperit o operațiune malware caracterizată printr-o posibilă legătură cu faimosul grup Lazarus, cel care a folosit tehnici neconvenționale de spearphishing și malware, în numeroase etape, împotriva unor companii aero-spațiale și militare.

Cercetătorii ESET au descoperit recent câteva atacuri direcționate extrem de bine puse la punct, care debutau sub forma unor campanii de spearphishing pe LinkedIn și care utilizau o mulțime de trucuri pentru a rămâne cât mai mult sub “radarul” de securitate al campaniilor vizate, atacuri al căror scop nu era doar spionajul, ci aparent și cel de a obține câștiguri financiare. Atacurile, pe care cercetătorii ESET le-au denumit Operation In(ter)ception pe baza unui eșantion de malware numit „Inception.dll”, au avut loc din septembrie până în decembrie 2019.

Atacurile analizate de cercetătorii noștri debutau cu un mesaj trimis prin platforma LinkedIn. „Mesajul era de fapt o ofertă de angajare destul de credibilă, ce părea să vină din partea unei companii bine cunoscute, dintr-un sector de activitate relevant pentru victimă. Desigur, profilul LinkedIn folosit pentru trimitere era unul fals, iar fișierele expediate împreună cu acesta aveau conținut malware", comentează Dominik Breitenbacher, cercetătorul malware ESET care a condus această anchetă și care a analizat codul folosit de atacatori.

Fișierele erau trimise direct pe LinkedIn sau printr-un e-mail care conținea un link OneDrive. Pentru ultima opțiune, atacatorii au creat conturi de e-mail care să corespundă cu conturile lor false de pe LinkedIn.

Odată ce destinatarul deschidea fișierul, era afișat un document PDF în aparență inofensiv, cu informații salariale legate de falsa ofertă de angajare. Între timp, malware-ul era implementat în fundal pe computerul compromis astfel al victimei. Atacatorii reușeau așadar să pună bazele operațiunii și să câștige încet încet prin aceasta infiltrare o persistență solidă în sistemul informatic afectat.

În continuare, atacatorii derulau o serie de pași descriși în detaliu de către cercetătorii ESET în lucrarea de analiză denumită „Operation In(ter)ception: Targeted attacks against European aerospace and military companies.”. Printre instrumentele utilizate de atacatori se număra secvențe malware gândite să acționeze în mai multe etape succesive, care era de multe ori deghizate sub forma unui software legitim, precum și versiuni modificate de instrumente open-source. În plus, s-au folosit și de așa-numitele tehnici „living off the land”, care presupun abuzarea utilităților Windows preinstalate pentru a efectua diverse operațiuni rău intenționate.

„Atacurile pe care le-am investigat au prezentat toate semnele de spionaj, cu câteva indicii care sugerează o posibilă legătură cu faimosul grup Lazarus. Cu toate acestea, nici analiza malware, nici investigația nu ne-au permis să obținem informații despre ce fișierele vizau atacatorii”, comentează Breitenbacher.

Pe lângă spionaj, cercetătorii ESET au găsit dovezi că atacatorii au încercat să folosească conturile compromise pentru a sustrage bani de la alte companii.

În unul din cazurile investigate, atacatorii au găsit printre e-mailurile unei victime comunicări cu privire la o factură neplătită. Aceștia nu au ezitat să profite de ocazie și au continuat conversația, îndemnând clientul să plătească factura - cu scopul de a direcționa banii, desigur, către un cont bancar ilegitim. Din fericire, victima a devenit suspicioasă și s-a adresat băncii pentru suport, împiedicând, astfel, încercarea atacatorilor de a derula un așa-numit atac de adresă de e-mail business compromisă.

Această încercare de a monetiza accesul ilegal la rețeaua victimei ar trebui să reprezinte încă un motiv pentru a implementa o protecție solidă împotriva intruziunilor și pentru a le oferi angajaților o instruire temeinică în domeniul securității cibernetice. O astfel de măsură ar putea ajuta angajații să recunoască mai ușor chiar și tehnicile de inginerie socială mai puțin cunoscute, precum cele utilizate în operațiunea Operation In(ter)ception", concluzionează Breitenbacher.

Pentru mai multe detalii tehnice despre operațiunea Operation In(ter)ception, vă invităm pe blogul WeLiveSecurity să consultați articolul nostru complet și analiza „Operation In(ter)ception: Targeted attacks against European aerospace and military companies”. Puteți urmări și ESET Research pe Twitter pentru cele mai recente știri din partea comunității noastre de cercetători.