盗梦空间:LinkedIn成为攻击政企高管的新渠道

不法分子假冒LinkedIn用户发起社工攻击已经并不新鲜了,但是针对关键行业关键人才和高管的攻击还不多见。近日,ESET的新研究发现,攻击者在LinkedIn上冒充招聘人员,以从欧洲军事和航空航天高管那里窃取信息情报和金钱。

这个代号“In(ter)ception(盗梦空间)”的攻击行为发生在2019年9月至12月之间。攻击者冒充知名公司向受害者发出颇具诱惑力和可信度的工作机会——一个指向PDF招聘文档的OneDrive链接,其中包含与“工作机会”相关的薪资信息。

但是,ESET恶意软件研究人员Dominik Breitenbacher表示,恶意软件已静默部署在受害人的计算机上,从而使攻击者“有了初步立足点,并在系统上实现了持久性潜伏”。

攻击者使用的工具中包括经常被伪装成合法软件的定制多阶段恶意软件,以及开源工具的修改版。

威胁研究负责人让·伊恩·布廷(Jean-Ian Boutin)在本周的ESET虚拟世界会议上发表讲话说,这份工作offer通常“太好了以至于无法实现”,尽管攻击者与受害者的谈话一开始就很友好,但攻击者会向受害者施加压力,要求其回答问题越来越迅速。攻击者还会询问目标高管人员正在使用什么系统来确定攻击文件的配置。

Boutin说:

这个伪装成预期薪水待遇信息的PDF文件是一个诱饵。其中的可执行文件会在受害人的计算机上创建计划任务,这是Windows中的内置功能,会自动启动。

这在企业设置中可能非常有用,但也是威胁组织用来确保其恶意有效负载在安装后定期运行的一种常用技术。

他解释说,计划任务中的恶意有效载荷被攻击者用来连接到外部服务器,“并且能够下载和执行任意内容。”

攻击后,Boutin表示,所有泄露的数据都放置在受密码保护的RAR档案中,并使用命令行工具上传到Dropbox。

使这个威胁行动者难以跟踪的原因是,他们的操作员在从一个系统迁移到另一个系统时确实非常谨慎,并清理了痕迹。

一旦入侵成功,攻击者还删除了LinkedIn的个人资料。

在研究期间,ESET还确定了该攻击与Lazarus小组的行动有一些相似之处,后者被认为与索尼影业(Sony Pictures)袭击和WannaCry爆发有关。ESET表示,没有足够的信息将这些攻击归因于Lazarus Group,但所使用的代码和策略却有些相似。

LinkedIn的信任与安全负责人Paul Rockwell表示:

我们积极寻找平台上由国家赞助的活动的迹象,并迅速采取行动对付不良行为者,以保护我们的会员。我们不会等待请求,我们的威胁情报团队会使用我们发现的信息和来自各种来源(包括政府机构)的情报来删除虚假账户。我们的团队利用各种自动化技术,再加上训练有素的审核员和成员报告团队,可确保成员免受各种不良行为的伤害。我们发现了涉及创建伪造账户的滥用情况。当时我们立即采取了行动,并永久限制了(虚假)账户。

上一篇:2020漏洞报告:CVE数量将创新高

下一篇:最终议程!EISS-2020企业信息安全峰会之北京站 | 7.31(周五线上)