پیشنهاد شغلی جعلی، این بار به کارمندان نظامی و هوافضا!

محققان امنیتی خبر از اجرای نوعی کمپین جاسوسی سایبری پیچیده بر ضد سازمانهای نظامی و فضایی اروپا و خاورمیانه داده اند. این کمپین که با هدف جاسوسی از کارمندان مهم چنین سازمانهایی راه اندازی شده است، حتی در بعضی موارد نیز موجب انتقال پول از حساب کارکنان آنها به حسابهای مهاجمان شده است.
بر اساس آنچه که محققان به وب سایت TheHackerNews گفتهاند: «هدف اصلی این عملیات، جاسوسی بوده است اما در یکی از موارد بررسی شده، مهاجمان سعی کرده اند از طریق هک ایمیل کاری[1] (BEC)، از حساب ایمیل قربانی کسب درآمد هم کنند».
انگیزه اقتصادی این حمله و سایر شباهتهای آن همچون شیوه هدف گیری قربانیان باعث شده است که شرکت امنیتی ESET این حمله را به گروه Lazarus Group نسبت دهد. به نظر می رسد این گروه، تحت حمایت دولت کره شمالی فعالیت می کنند.
مهندسی اجتماعی از طریق لینکدین
حملات اجرا شده توسط این کمپین، به شدت هدفمند بوده و به گفته ESET از ترفندهای پیچیده مهندسی اجتماعی برای فریب کارمندان سازمان های مورد نظر استفاده شده است. مهاجمان با جعل هویت مدیران منابع انسانی سازمانهای مهم صنایع دفاعی و هوافضا، از جمله Collins Aerospace و General Dynamics، در وب سایت لینکدین به افراد پیام ارسال کرده و به آنها پیشنهاد کار می داده اند.
محققان بر اساس تحقیق های انجام شده در خصوص دو شرکت اروپایی مورد هدف در این حمله ها اعلام کرده اند که: «پس از برقراری تماس، مهاجمان فایلهای مخربی را برای قربانیان ارسال کرده و چنان وانمود میکرده اند که این اسناد، جزو مستندات مربوط به کار پیشنهادی به آنها هستند».
روش کار این حمله ها
فایلهای آرشیو RAR آلوده که به صورت مستقیم از طریق چت یا ایمیل به قربانیان ارسال میشده است، دارای لینکی به OneDrive بوده که به ظاهر، سند حاوی اطلاعات مربوط به شغل پیشنهادی و میزان حقوق، از طریق این لینک قابل دسترس بوده است. در نهایت نیز با کلیک بر روی این لینک و باز کردن فایل مربوطه، خط فرمان ویندوز سیستم قربانی اجرا شده و شروع به انجام اقدام های مخربی میکرده است؛ از جمله:
1- کپی کردن ابزار خط فرمان Windows Management Instrumentation (wmic.exe) به یک پوشه خاص
2- تغییر نام آن برای جلوگیری از شناسایی (مثلاً Intel، NVidia، Skype، OneDrive و Mozilla)
3- ایجاد وظایف زمان بندی شده به منظور اجرای یک اسکریپت XSL از طریق WMIC
عوامل این حمله پس از دستیابی به موقعیت مطلوبشان در سازمان مورد نظر، از یک ابزار ویژه دریافت بدافزار استفاده می کردند که پیلود خاصی را دانلود میکرد. این پیلود، در واقع نوعی درب پشتی C++ بود که در بازه های زمانی مشخص، درخواستهایی را به سرور تحت کنترل مهاجمان ارسال میکرد. سپس بر اساس فرمانهای دریافتی، کارهای از پیش تعیین شده و خاصی را انجام داده و اطلاعات جمع آوری شده را در قالب فایل RAR و از طریق یک نسخه اصلاح شده از dbxcli (یک خط فرمان کدباز (اپن سورس) مربوط به کلاینت برای دراپ باکس) برای مهاجمان ارسال میکرده است.
این گروه علاوه بر استفاده از WMIC برای تفسیر اسکریپتهای XSL از راه دور، از سایر ابزارهای ویندوز مانند certutil هم برای دیکد کردن پیلودهایی که با روش base64 کدگذاری شده بودند، استفاده کرده و از rundll32 و regsvr32 برای اجرای بدافزار خاص خودشان استفاده میکردند.
“Paul Rockwell” مدیر امنیت و اعتماد لینکدین در اطلاعیه ای اعلام کرده است که: «تیم ما با استفاده از فناوریهای مختلف خودکار، یک گروه ناظر آموزش دیده و همچنین گزارش اعضای این پلتفرم، از کاربران در برابر تمامی افراد و نهادهای بدخواه محافظت می کند. ما به سیاستهای کاملاً شفاف خودمان پایبند هستیم؛ به عبارت دیگر، ایجاد حساب جعلی یا فعالیتهای مخرب با هدف گمراه کردن کاربران یا دروغ گفتن به آنها، نقض شرایط استفاده از خدمات ما محسوب میشود. در اتفاقی که رخ داد، نمونههایی از سوءاستفاده شامل ایجاد حسابهای جعلی مشاهده شده است که با اقدام به موقع ما، این حساب ها برای همیشه مسدود شده اند».
حملات BEC با انگیزه اقتصادی
محققان ESET علاوه بر عملیات شناسایی، متوجه تلاش مهاجمان برای سوءاستفاده از حسابهای هک شده جهت انتقال پول از سازمانهای آنها شده اند.
اگر چه این ترفند تاکنون ناموفق بوده است اما مهاجمان سعی کرده اند به هر نحوی که شده آن را با استفاده از ارتباطات ایمیلی، بین صاحب حساب و سازمان مربوطه انجام دهند. بر اساس گفته های شرکت ESET: «مهاجمان سعی کردند یک دامنه مشابه با دامنه سازمان مورد هدف را ثبت کرده و از یک آدرس ایمیل مرتبط با این دامنه جعلی برای برقراری ارتباطات بیشتر با سازمان مورد هدف استفاده کنند».
محققان در نهایت اعلام کرده اند که: «تحقیقات ما درباره Operation In(ter)ception بار دیگر نشان داد که حمله های فیشینگ هدفمند تا چه اندازه میتوانند برای به مخاطره انداختن شرکتها و تحقق اهداف مورد نظر مهاجمان کارآمد باشند. این حملات، به شدت هدفمند بوده و متکی بر مهندسی اجتماعی از طریق لینکدین و بدافزارهای سفارشی بوده اند. مهاجمان برای جلوگیری از شناسایی، به صورت مداوم این بدافزار را اصلاح و به روزرسانی کرده اند، از ابزارهای ویندوزی سوءاستفاده کرده و کوشیده اند ابزارهای ویژه خودشان را به جای نرم افزارها و شرکتهای مجاز جا بزنند».
- [1] business email compromise
منبع: thehackernews