疑似Lazarus利用社会工程攻击瞄准欧洲航空与军工企业

疑似Lazarus利用社会工程攻击瞄准欧洲航空与军工企业

黑客学院访客2021-10-11 13:17:008121A+A-

近日,安全公司ESET基于已有的两家受影响公司,发现欧洲的航天和军队相关企业最近成为一个复杂间谍攻击的目标,攻击中使用了新型恶意软件,以及社会工程学。

攻击者第一步先以敌对公司挖角的方式引诱员工,从而渗透入网络中,然后在所谓的职位详细信息中植入恶意软件。攻击者会建立自己虚假的LinkedIn账户,伪装成Collins Aerospace与General Dynamics这两家主要承包公司的猎头。

ESET表示,这些攻击发生在2019年9月到12月之间。

最初被分享的职位信息确实含有工资的具体信息,但是实际上只是一个欺诈。这个文件是一个被密码保护的RAR文件,里面含有了一个LNK文档。而在打开的时候,LNK文档会开启Command Prompt,在目标的默认浏览器中打开一个远程PDF文档。而在后台,Command Prompt会创建一个新文件夹,并将WMIC.exe复制到该文件夹,并在对该进程重命名。最后,Command Prompt会创建一个预定的任务,通过复制的WMIC.exe周期性地执行一个远程的XSL脚本。

在进入内部网络后,恶意软件会变得更加复杂。攻击者会通过WMIC解读远程XSL脚本,用certutil解码64位的下载载荷,然后用rundll32与regsvr32运行他们的恶意软件。

(恶意软件攻击流程,由ESET提供)

攻击者可以通过这个攻击在系统中达成两个目的:一个是寻找敏感信息,然后将提取的信息上传到一个DropBox账户;另一个是获取内部数据,从而对公司的员工进行进一步的BEC攻击。

在整个攻击事件的后期,攻击者也在试图通过寻找没有支付的发票并利用这些发票,直接变现自己的接入权限,攻击者会追踪相关会话,并督促客户支付这些费用——只是和之前确认的银行账户不同,但是引发了客户的一些疑问。为了解决这个问题,攻击者注册受攻击公司一样的域名(但是级别不同),然后将邮箱相关到这个假域名和目标客户进一步接触。

不过,这反而成了他们搞砸的地方。一个警觉的客户检查了邮箱地址,并且和航天公司进行了二次确认,发现了诈骗。

该攻击很可能来自朝鲜的APT组织Lazarus,由于第一阶段中恶意软件的变种带有Lazarus拥有的恶意工具组的相关样本。不过,ESET同时表示,要确信这个结论依然缺少决定性的证据。

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 1条评论
  • 酒奴卮酒2022-05-29 16:42:37
  • 的RAR文件,里面含有了一个LNK文档。而在打开的时候,LNK文档会开启Command Prompt,在目标的默认浏览器中打开一个远程PDF文档。而在后台,Command Prompt会创建一个新文件夹,并将WMIC.exe复制到该文件夹,并在对该进程重命名。最后,Com

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理