ESET 公司在虚拟世界安全大会上指出,臭名昭著的朝鲜国家黑客组织 Lazarus Group 利用 LinkedIn 攻击欧洲航空航天公司和军队企业。该行动被 ESET 公司称为“拦截行动 (Operation In(ter)caption)”。
ESET 公司的研究员 Jean-Ian Boutin 在会议中指出,Lazarus 黑客组织成员使用 LinkedIn 雇主资料和私信接近目标。攻击者伪装成工作面试流程的一部分,将声称包含公司和岗位其它信息的文件发给受害者,而实际上这些文档中包含遭恶意软件安然的文件,可导致攻击者在受害者计算机上立足。Boutin 指出,受害者遭感染后,黑客将停止面试流程并告知受害者称求职失败,此后立即删除 LinkedIn 资料。但在受感染员工的计算机上,黑客将继续利用之前的访问权限开始扩大自己在被黑公司网络中的访问权限。Boutin 表示,“我们发现攻击者查询活动目录服务器获得包括管理员账户在内的员工清单,之后对管理员账户执行密码暴力攻击。”ESET 公司指出,从这次黑客行动出现的恶意软件来看,这些攻击似乎发生在2019年9月至12月期间。黑客的攻击目标通常包括在欧洲航空航天以及军队企业任职的员工,而他们多数都曾接到富有竞争力的或更高级别公司的虚假职位应聘成功的通知。但 Boutin 表示,黑客收集到所需情报和被黑公司的专有数据资料后,入侵并不会就此停止。黑客会擦除足迹,并继续欺诈受感染公司的业务合作伙伴。黑客会翻遍被黑企业的邮件收件箱并寻找未支付的支票,“他们追踪会话并督促客户支付支票到和之前协议账户不同的其它银行账户。”这种欺诈受害者客户的行为被称为“商业邮件攻陷 (BEC)”,由于商业合作伙伴通常会发现异常因此它们一般不会得逞。结合朝鲜黑客近三年来攻击银行和密币交易所的总体趋势来看,这次的黑客活动也不令人惊讶。2019年9月,美国财政部宣布对和朝鲜黑客组织相关联的实体实施制裁,声称朝鲜利用黑客组织为武器和导弹计划窃取钱财集资。另外,朝鲜黑客组织利用 LinkedIn 接近目标已经轻车驾熟。2019年1月,该组织通过 LinkedIn 信息联系在银行部门工作的员工并通过 Skype 安排工作面试,受害者同样收到了受恶意软件感染的文件。这也是为何安全研究员认为朝鲜黑客攻陷了和所有智利银行ATM 基础设施互联的公司 Redbanc 的原因。
https://www.zdnet.com/article/north-koreas-state-hackers-caught-engaging-in-bec-scams/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~