0

  • Votre panier est vide.

  • LOGIN

Les pirates ciblent le personnel militaire et aérospatial en se faisant passer pour des RH offrant des emplois

Certains articles de veille peuvent faire l'objet de traduction automatique.

Les chercheurs en cybersécurité ont dévoilé aujourd’hui une nouvelle campagne sophistiquée de cyberespionnage dirigée contre les organisations aérospatiales et militaires en Europe et au Moyen-Orient dans le but d’espionner les employés clés des entreprises ciblées et, dans certains cas, même de siphonner de l’argent.

La campagne, baptisée « Opération In (ter) ception« en raison d’une référence à » Inception « dans l’échantillon de malware, a eu lieu entre septembre et décembre 2019, selon un nouveau rapport de la société de cybersécurité ESET partagé avec The Hacker News.

« Le principal objectif de l’opération était l’espionnage », ont déclaré les chercheurs à The Hacker News. « Cependant, dans l’un des cas sur lesquels nous avons enquêté, les attaquants ont tenté de monétiser l’accès au compte de messagerie d’une victime via une attaque de compromis par courrier électronique professionnel (BEC) comme dernière étape de l’opération.

La motivation financière derrière les attaques, associée aux similitudes dans l’environnement de ciblage et de développement, a conduit ESET à soupçonner Groupe Lazarus, un groupe de piratage informatique notoire qui a été attribué à travailler au nom du gouvernement nord-coréen pour financer les programmes d’armes et de missiles illicites du pays.

Ingénierie sociale via LinkedIn

Déclarant que la campagne était très ciblée, ESET a déclaré qu’elle s’appuyait sur des astuces d’ingénierie sociale pour attirer les employés travaillant pour les entreprises choisies avec de fausses offres d’emploi à l’aide de la fonction de messagerie de LinkedIn, se faisant passer pour des responsables des ressources humaines d’entreprises bien connues de l’industrie aérospatiale et de la défense, y compris Collins Aerospace et General Dynamics.

Les pirates ciblent l'armée et l'aérospatiale

« Une fois le contact établi, les attaquants ont introduit des fichiers malveillants dans la communication, les déguisant en documents liés à l’offre d’emploi annoncée », ont déclaré les chercheurs, sur la base d’une enquête menée auprès de deux des entreprises européennes concernées.

Les fichiers d’archive leurre RAR, qui ont été directement envoyés sur les chats ou sous forme d’e-mails envoyés par leurs fausses personnalités LinkedIn pointant vers un lien OneDrive, censés contenir un document PDF détaillant les informations de salaire de postes spécifiques, alors qu’en réalité, il exécutait Windows  » Utilitaire d’invite de commandes pour effectuer une série d’actions:

  1. Copier l’outil de ligne de commande de Windows Management Instrumentation (wmic.exe) dans un dossier spécifique
  2. Renommez-le en quelque chose d’innocent pour échapper à la détection (par exemple, Intel, NVidia, Skype, OneDrive et Mozilla), et
  3. Créez des tâches planifiées qui exécutent un script XSL distant via WMIC.

Les acteurs derrière l’opération, après avoir pris pied dans l’entreprise cible, ont continué à utiliser un téléchargeur de logiciels malveillants personnalisé, qui à son tour a téléchargé une charge utile de deuxième étape auparavant non documentée – une porte dérobée C ++ qui envoie périodiquement des requêtes à un serveur contrôlé par un attaquant. , effectuez des actions prédéfinies en fonction des commandes reçues, et exfiltrez les informations collectées sous forme de fichier RAR via une version modifiée de dbxcli, un client de ligne de commande open source pour Dropbox.

En plus d’utiliser WMIC pour interpréter des scripts XSL distants, les adversaires ont également abusé des utilitaires Windows natifs tels que « certutil » pour décoder les charges utiles téléchargées encodées en base64, et « rundll32 » et « regsvr32 » pour exécuter leur malware personnalisé.

«Nous recherchons activement des signes d’activité parrainée par l’État sur la plate-forme et prenons rapidement des mesures contre les mauvais acteurs afin de protéger nos membres. Nous n’attendons pas les demandes, notre équipe de renseignement sur les menaces supprime les faux comptes en utilisant les informations que nous découvrons et les renseignements dont nous disposons. une variété de sources, y compris des agences gouvernementales », a déclaré Paul Rockwell, responsable de la confiance et de la sécurité chez LinkedIn dans un communiqué envoyé à The Hacker News.

«Nos équipes utilisent une variété de technologies automatisées, combinées à une équipe formée de réviseurs et de rapports de membres, pour protéger nos membres de tous les types de mauvais acteurs. Nous appliquons nos politiques, qui sont très claires: la création d’un faux compte ou une activité frauduleuse dans le but d’induire en erreur ou de mentir à nos membres constitue une violation de nos conditions d’utilisation. Dans ce cas, nous avons découvert des cas d’abus impliquant la création de faux comptes. Nous avons pris des mesures immédiates à ce moment-là et avons définitivement restreint les comptes « 

Attaques BEC motivées financièrement

Outre la reconnaissance, les chercheurs d’ESET ont également trouvé des preuves d’attaques tentant d’exploiter les comptes compromis pour extraire de l’argent d’autres entreprises.

Les pirates ciblent l'armée et l'aérospatiale

Bien qu’échouée, la tactique de monétisation a fonctionné en utilisant les communications par courrier électronique existantes entre le titulaire du compte et un client de l’entreprise pour régler une facture impayée sur un autre compte bancaire sous leur contrôle.

« Dans le cadre de cette ruse, les attaquants ont enregistré un nom de domaine identique à celui de l’entreprise compromise, mais sur un domaine de premier niveau différent, et ont utilisé un e-mail associé à ce faux domaine pour une communication plus approfondie avec le client ciblé », a déclaré ESET .

En fin de compte, le client ciblé a contacté l’adresse e-mail correcte de la victime au sujet des e-mails suspects, déjouant ainsi la tentative des attaquants.

« Notre recherche sur l’opération In (ter) ception montre à nouveau à quel point le spear-phishing peut être efficace pour compromettre une cible d’intérêt », ont conclu les chercheurs.

« Ils étaient très ciblés et s’appuyaient sur l’ingénierie sociale sur LinkedIn et sur des logiciels malveillants personnalisés à plusieurs niveaux. Pour opérer sous le radar, les attaquants recompilaient fréquemment leurs logiciels malveillants, abusaient des utilitaires Windows natifs et se faisaient passer pour des logiciels et des entreprises légitimes. »

Voir aussi :

novembre 6, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)