黑客以提供工作的人力资源为目标，攻击军事和航空航天工作人员

网络安全研究人员今天揭开了一场针对欧洲和中东航空航天和军事组织的复杂网络间谍活动的序幕，目的是监视目标公司的关键员工，在某些情况下甚至窃取资金。

据网络安全公司ESET与《黑客新闻》分享的一份新报告称，这场活动于2019年9月至12月期间进行，因恶意软件样本中提到了“Inception”，因此被称为“Operation In（ter）Exception”。

“这次行动的主要目标是间谍活动，”研究人员告诉《黑客新闻》。“然而，在我们调查的其中一个案例中，攻击者试图通过商业电子邮件泄露（BEC）攻击将对受害者电子邮件帐户的访问货币化，作为操作的最后阶段。”

这些袭击背后的经济动机，加上目标和开发环境的相似性，导致ESET怀疑拉扎勒斯集团，这是一个臭名昭著的黑客组织，被认为代表朝鲜政府为该国的非法武器和导弹项目提供资金。

通过LinkedIn进行社会工程

ESET表示，该活动的针对性很强，它利用社交工程技巧，利用LinkedIn的消息功能，以虚假的工作机会引诱为选定公司工作的员工，冒充航空航天和国防行业知名公司（包括柯林斯航空航天和通用动力）的人力资源经理。


根据对两家受影响的欧洲公司的调查，研究人员表示：“一旦建立了联系，攻击者就会偷偷将恶意文件插入通信，伪装成与广告招聘相关的文件。”。

诱饵RAR存档文件通过聊天室直接发送，或通过指向OneDrive链接的虚假LinkedIn角色发送电子邮件，据称包含一份PDF文档，详细说明了特定职位的薪资信息，而实际上，它执行Windows的命令提示实用程序来执行一系列操作：

1. 将Windows Management Instrumentation命令行工具（wmic.exe）复制到特定文件夹
2. 将其重命名为无害的名称以逃避检测（例如英特尔、英伟达、Skype、OneDrive和Mozilla），以及
3. 创建通过WMIC执行远程XSL脚本的计划任务。

在目标公司内部获得初步立足点后，该行动的参与者继续使用定制恶意软件下载程序，该下载程序反过来下载了之前未记录的第二阶段有效载荷—；一个C++后门，它定期向攻击者控制的服务器发送请求，根据接收到的命令执行预定义的动作，并通过DXCLI的修改版本将收集到的信息作为DroxBox的开源命令行客户端进行过滤。

除了使用WMIC来解释远程XSL脚本外，对手还滥用本机Windows实用程序，如“certutil”来解码base64编码的下载有效负载，“rundll32”和“regsvr32”来运行其自定义恶意软件。

“我们在平台上积极寻找国家赞助活动的迹象，并迅速采取行动打击不良行为人，以保护我们的成员。我们不等待请求，我们的威胁情报团队使用我们发现的信息和来自包括政府机构在内的各种来源的情报删除假账户，”Paul Rockwell，LinkedIn的信任与安全负责人在发给黑客新闻的一份声明中说。

“我们的团队利用各种自动化技术，再加上训练有素的审核人员和会员报告团队，确保我们的会员不受各种不良行为的影响。我们执行我们的政策，这些政策非常明确：创建虚假账户或欺诈活动，意图误导或欺骗我们的会员，违反了我们的法规服务小姐。在本案中，我们发现了涉及创建假账户的滥用案例。我们当时立即采取了行动，并永久限制了这些账户。”

经济动机的BEC攻击

除了侦察，ESET研究人员还发现了攻击者试图利用受损账户从其他公司提取资金的证据。


虽然没有成功，但货币化策略通过使用账户持有人和公司客户之间现有的电子邮件通信，将未付发票结算到他们控制下的另一个银行账户，起到了作用。

ESET说：“作为这一诡计的一部分，攻击者注册了一个与受损公司相同的域名，但位于不同的顶级域名上，并使用与该假域名相关的电子邮件与目标客户进行进一步沟通。”。

最终，目标客户找到了受害者关于可疑电子邮件的正确电子邮件地址，从而挫败了攻击者的企图。

研究人员总结道：“我们对网络钓鱼操作的研究再次表明，鱼叉式网络钓鱼在损害目标利益方面是多么有效。”。

“他们是高度针对性的，并且依赖社交工程而不是LinkedIn和定制的多级恶意软件。为了在雷达下运行，攻击者经常重新编译他们的恶意软件，滥用本机Windows实用程序，并冒充合法软件和公司。”