''接待行动''攻击欧洲和中东的军事和航空航天员工

从ESET安全专家发现了一种新的复杂的网络间谍活动,主要针对航空航天和军事组织在欧洲和中东地区。

攻击者试图监视组织的主要员工,攻击者还试图通过BEC攻击来窃取金钱。

“去年年底,针对欧洲和中东的航空航天和军事公司的攻击从2019年9月至12月开始活跃。” 安全专家分析。

该活动在2019年9月至2019年12月期间一直很活跃,ESET研究人员推测与朝鲜有联系的拉撒路APT小组的参与。

该组织制造大规模的 WannaCry勒索软件 攻击,2016年的 SWIFT攻击以及 Sony Pictures黑客事件。

攻击者创建了虚假的LinkedIn帐户,冒充航空航天和国防工业中知名公司(Collins Aerospace和General Dynamics)的HR代表。

攻击者使用伪造的个人资料通过LinkedIn向目标个人发送工作机会,将有关工作机会的文件为诱饵。

报告说:“建立联系后,攻击者会将恶意文件窃取到通讯中,并将它们伪装成与招聘职位相关的文件。攻击者要么直接使用LinkedIn,要么结合使用电子邮件和OneDrive。”

攻击者使用受密码保护的RAR存档文件作为诱饵,文件中包含特定职位的薪水详细信息。

“包含LNK文件的受密码保护的RAR存档。打开后,LNK文件将启动命令提示符,该命令将在目标的默认浏览器中打开一个远程PDF文件。“包含LNK文件的受密码保护的RAR存档。打开后,LNK文件将启动命令提示符,该命令将在目标的默认浏览器中打开一个远程PDF文件。最后,创建WMIC.exe定期执行远程XSL脚本。”

攻击者使用了自定义恶意软件下载器,该下载器下载了以前未记录的第二阶段C ++后门,该后门会定期将请求发送到攻击者控制的服务器,并根据收到的命令执行预定义的操作。后门还用于通过dbxcli的修改版本RAR归档文件的形式泄漏收集的数据。

专家注意到,攻击者使用WMIC解释远程XSL脚本,使用certutil解码base64编码的下载有效负载,并使用rundll32和regsvr32运行其自定义恶意软件。

ESET研究人员还发现,攻击者试图利用目标组织的受感染帐户对其他企业发起BEC攻击。

攻击者利用受害者电子邮件中的现有通信,攻击者试图操纵公司的客户,将待处理的发票支付到他们的银行帐户。进一步扩大攻击范围。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!