盜夢空間:LinkedIn成為攻擊政企高管的新渠道
責編:gltian |2020-07-23 13:39:19不法分子假冒LinkedIn用戶發起社工攻擊已經并不新鮮了,但是針對關鍵行業關鍵人才和高管的攻擊還不多見。近日,ESET的新研究發現,攻擊者在LinkedIn上冒充招聘人員,以從歐洲軍事和航空航天高管那里竊取信息情報和金錢。
這個代號“In(ter)ception(盜夢空間)”的攻擊行為發生在2019年9月至12月之間。攻擊者冒充知名公司向受害者發出頗具誘惑力和可信度的工作機會——一個指向PDF招聘文檔的OneDrive鏈接,其中包含與“工作機會”相關的薪資信息。
但是,ESET惡意軟件研究人員Dominik Breitenbacher表示,惡意軟件已靜默部署在受害人的計算機上,從而使攻擊者“有了初步立足點,并在系統上實現了持久性潛伏”。
攻擊者使用的工具中包括經常被偽裝成合法軟件的定制多階段惡意軟件,以及開源工具的修改版。
威脅研究負責人讓·伊恩·布廷(Jean-Ian Boutin)在本周的ESET虛擬世界會議上發表講話說,這份工作offer通常“太好了以至于無法實現”,盡管攻擊者與受害者的談話一開始就很友好,但攻擊者會向受害者施加壓力,要求其回答問題越來越迅速。攻擊者還會詢問目標高管人員正在使用什么系統來確定攻擊文件的配置。
Boutin說:
這個偽裝成預期薪水待遇信息的PDF文件是一個誘餌。其中的可執行文件會在受害人的計算機上創建計劃任務,這是Windows中的內置功能,會自動啟動。
這在企業設置中可能非常有用,但也是威脅組織用來確保其惡意有效負載在安裝后定期運行的一種常用技術。
他解釋說,計劃任務中的惡意有效載荷被攻擊者用來連接到外部服務器,“并且能夠下載和執行任意內容。”
攻擊后,Boutin表示,所有泄露的數據都放置在受密碼保護的RAR檔案中,并使用命令行工具上傳到Dropbox。
使這個威脅行動者難以跟蹤的原因是,他們的操作員在從一個系統遷移到另一個系統時確實非常謹慎,并清理了痕跡。
一旦入侵成功,攻擊者還刪除了LinkedIn的個人資料。
在研究期間,ESET還確定了該攻擊與Lazarus小組的行動有一些相似之處,后者被認為與索尼影業(Sony Pictures)襲擊和WannaCry爆發有關。ESET表示,沒有足夠的信息將這些攻擊歸因于Lazarus Group,但所使用的代碼和策略卻有些相似。
LinkedIn的信任與安全負責人Paul Rockwell表示:
我們積極尋找平臺上由國家贊助的活動的跡象,并迅速采取行動對付不良行為者,以保護我們的會員。我們不會等待請求,我們的威脅情報團隊會使用我們發現的信息和來自各種來源(包括政府機構)的情報來刪除虛假賬戶。我們的團隊利用各種自動化技術,再加上訓練有素的審核員和成員報告團隊,可確保成員免受各種不良行為的傷害。我們發現了涉及創建偽造賬戶的濫用情況。當時我們立即采取了行動,并永久限制了(虛假)賬戶。