疑似Lazarus利用社会工程攻击瞄准欧洲航空与军工企业

近日，安全公司ESET基于已有的两家受影响公司，发现欧洲的航天和军队相关企业最近成为一个复杂间谍攻击的目标，攻击中使用了新型恶意软件，以及社会工程学。

攻击者第一步先以敌对公司挖角的方式引诱员工，从而渗透入网络中，然后在所谓的职位详细信息中植入恶意软件。攻击者会建立自己虚假的LinkedIn账户，伪装成Collins Aerospace与General Dynamics这两家主要承包公司的猎头。

ESET表示，这些攻击发生在2019年9月到12月之间。

最初被分享的职位信息确实含有工资的具体信息，但是实际上只是一个欺诈。这个文件是一个被密码保护的RAR文件，里面含有了一个LNK文档。而在打开的时候，LNK文档会开启Command Prompt，在目标的默认浏览器中打开一个远程PDF文档。而在后台，Command Prompt会创建一个新文件夹，并将WMIC.exe复制到该文件夹，并在对该进程重命名。最后，Command Prompt会创建一个预定的任务，通过复制的WMIC.exe周期性地执行一个远程的XSL脚本。

在进入内部网络后，恶意软件会变得更加复杂。攻击者会通过WMIC解读远程XSL脚本，用certutil解码64位的下载载荷，然后用rundll32与regsvr32运行他们的恶意软件。

（恶意软件攻击流程，由ESET提供）

攻击者可以通过这个攻击在系统中达成两个目的：一个是寻找敏感信息，然后将提取的信息上传到一个DropBox账户；另一个是获取内部数据，从而对公司的员工进行进一步的BEC攻击。

在整个攻击事件的后期，攻击者也在试图通过寻找没有支付的发票并利用这些发票，直接变现自己的接入权限，攻击者会追踪相关会话，并督促客户支付这些费用——只是和之前确认的银行账户不同，但是引发了客户的一些疑问。为了解决这个问题，攻击者注册受攻击公司一样的域名（但是级别不同），然后将邮箱相关到这个假域名和目标客户进一步接触。

不过，这反而成了他们搞砸的地方。一个警觉的客户检查了邮箱地址，并且和航天公司进行了二次确认，发现了诈骗。

该攻击很可能来自朝鲜的APT组织Lazarus，由于第一阶段中恶意软件的变种带有Lazarus拥有的恶意工具组的相关样本。不过，ESET同时表示，要确信这个结论依然缺少决定性的证据。