依托社交媒體開展的間諜活動近年來不在少數(shù)，偽裝、假冒、社會工程學(xué)等手段也是層出不窮。近日，ESET網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了一場針對歐洲和中東航空航天和軍事組織的網(wǎng)絡(luò)間諜活動，這場活動背后的攻擊者不僅將目標瞄準航空航天和軍事組織的高層人員，還企圖獲取金錢利益。

因為涉及“盜版”惡意軟件樣本，這場間諜活動被稱為“盜版行動”。據(jù)悉，這場活動活躍于2019年9月至12月。

這次攻擊組織主要的目標還是在于開展間諜行動。在行動后期，他們企圖通過BEC攻擊來獲取人員的電子郵件賬戶。從該組織以往的攻擊對象和背后動機，研究人員猜測這個組織是Lazarus 團伙，代表朝鮮政府并為該國的非法武器和導(dǎo)彈計劃籌集資金。

Lazarus組織還被認為是大規(guī)模WannaCry勒索軟件攻擊，2016年一系列SWIFT攻擊以及Sony Pictures黑客事件的罪魁禍首。

領(lǐng)英的社會工程學(xué)

一開始的時候，這場活動目標明確，具有高度針對性，ESET認為攻擊者利用社會工程學(xué)的技巧誘騙這些目標組織的員工，偽裝成知名航空航天和軍事企業(yè)的HR，通過領(lǐng)英發(fā)送虛假崗位信息。

研究人員提及： “一旦建立起聯(lián)系，攻擊者就會將惡意文件偽裝成相關(guān)職業(yè)offer發(fā)給對方。”

作為誘餌的RAR存檔文件直接通過聊天窗口進行發(fā)送，或通過虛假的領(lǐng)英賬號(指向OneDrive鏈接)直接發(fā)送到電子郵箱中，表面上，其中包含PDF文檔，詳細說明特定職位和薪水信息，而實際上，它執(zhí)行Windows命令提示符實用程序，執(zhí)行一系列操作：

將Windows Management Instrumentation命令行工具(wmic.exe)復(fù)制到特定文件夾;

偽裝命名以逃避檢測(例如，Intel，NVidia，Skype，OneDrive和Mozilla);

創(chuàng)建計劃任務(wù)，這些任務(wù)通過WMIC執(zhí)行遠程XSL腳本。

攻擊者針對目標企業(yè)完成第一步之后，便繼續(xù)使用自定義惡意軟件下載器，該下載器可下載之前未記錄的第二階段有效負載，一個C ++后門，可定期將請求發(fā)送到攻擊者控制的服務(wù)器，根據(jù)接收到的命令執(zhí)行預(yù)定義的操作，并通過dbxcli的修改版dropbox的開源命令行客戶端，將收集到的信息作為RAR文件進行提取。

攻擊者除了使用WMIC解釋遠程XSL腳本外，還濫用本機Windows實用程序，例如“ certutil”來解碼base64編碼的下載負載，以及“ rundll32”和“ regsvr32”來運行其自定義惡意軟件。

“目前該黑客組織是國家間諜的證據(jù)還在尋找中，當然，我們也不會坐以待斃，已經(jīng)開始刪除一些虛假賬號。”領(lǐng)英的安全部負責(zé)人表示。

經(jīng)濟動機引發(fā)BEC攻擊

不只是想竊取相關(guān)人員的賬號和信息，攻擊者還企圖利用感染賬號竊取公司資金。

首先，利用受害者電子郵件中的現(xiàn)有通信，攻擊者試圖操縱目標公司的客戶，以將待處理的發(fā)票支付到他們的銀行帳戶。為了與客戶進行進一步的交流，他們使用了自己的電子郵件地址來模仿受害者的電子郵件地址。所幸，這一計劃并沒有成功。

該組織依靠領(lǐng)英和自定義的多階段惡意軟件進行社會工程。為了完成這一計劃，攻擊者經(jīng)常重新編譯其惡意軟件，濫用本機Windows實用程序，并假冒合法軟件和公司。