黑客给你发offer?
依托社交媒体开展的间谍活动近年来不在少数,伪装、假冒、社会工程学等手段也是层出不穷。近日,ESET网络安全研究人员发现了一场针对欧洲和中东航空航天和军事组织的网络间谍活动,这场活动背后的攻击者不仅将目标瞄准航空航天和军事组织的高层人员,还企图获取金钱利益。
因为涉及“盗版”恶意软件样本,这场间谍活动被称为“盗版行动”。据悉,这场活动活跃于2019年9月至12月。
这次攻击组织主要的目标还是在于开展间谍行动。在行动后期,他们企图通过BEC攻击来获取人员的电子邮件账户。从该组织以往的攻击对象和背后动机,研究人员猜测这个组织是Lazarus 团伙,代表朝鲜政府并为该国的非法武器和导弹计划筹集资金。
Lazarus组织还被认为是大规模WannaCry勒索软件攻击,2016年一系列SWIFT攻击以及Sony Pictures黑客事件的罪魁祸首。
领英的社会工程学
一开始的时候,这场活动目标明确,具有高度针对性,ESET认为攻击者利用社会工程学的技巧诱骗这些目标组织的员工,伪装成知名航空航天和军事企业的HR,通过领英发送虚假岗位信息。
研究人员提及: “一旦建立起联系,攻击者就会将恶意文件伪装成相关职业offer发给对方。”
作为诱饵的RAR存档文件直接通过聊天窗口进行发送,或通过虚假的领英账号(指向OneDrive链接)直接发送到电子邮箱中,表面上,其中包含PDF文档,详细说明特定职位和薪水信息,而实际上,它执行Windows命令提示符实用程序,执行一系列操作:
将Windows Management Instrumentation命令行工具(wmic.exe)复制到特定文件夹;
伪装命名以逃避检测(例如,Intel,NVidia,Skype,OneDrive和Mozilla);
创建计划任务,这些任务通过WMIC执行远程XSL脚本。
攻击者针对目标企业完成第一步之后,便继续使用自定义恶意软件下载器,该下载器可下载之前未记录的第二阶段有效负载,一个C ++后门,可定期将请求发送到攻击者控制的服务器,根据接收到的命令执行预定义的操作,并通过dbxcli的修改版dropbox的开源命令行客户端,将收集到的信息作为RAR文件进行提取。
攻击者除了使用WMIC解释远程XSL脚本外,还滥用本机Windows实用程序,例如“ certutil”来解码base64编码的下载负载,以及“ rundll32”和“ regsvr32”来运行其自定义恶意软件。
“目前该黑客组织是国家间谍的证据还在寻找中,当然,我们也不会坐以待毙,已经开始删除一些虚假账号。”领英的安全部负责人表示。
经济动机引发BEC攻击
不只是想窃取相关人员的账号和信息,攻击者还企图利用感染账号窃取公司资金。
首先,利用受害者电子邮件中的现有通信,攻击者试图操纵目标公司的客户,以将待处理的发票支付到他们的银行帐户。为了与客户进行进一步的交流,他们使用了自己的电子邮件地址来模仿受害者的电子邮件地址。所幸,这一计划并没有成功。
该组织依靠领英和自定义的多阶段恶意软件进行社会工程。为了完成这一计划,攻击者经常重新编译其恶意软件,滥用本机Windows实用程序,并假冒合法软件和公司。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
僵尸网络威胁:全球350万网络摄像机易遭黑客攻击
调查发现,由于多种安全漏洞,英国企业和家庭中超过100000个无线主动式摄像头可能容易受到黑客的攻击。 调查发现,攻击者可以监视房屋、窃取数据并瞄准其他设备。 Mimecast威胁情报和守望先锋数据科学负责人Kiri Addison博士说:“物联网设备可以为攻击者提供进入您家庭网络的便捷途径。由于我们许多人现在在家工作,这给企业带来了更大的风险,从而使攻击者有机会更轻松地从员工的个人网络转移到雇主的网络。 “除了可以访问网络之外,还可以通过许多其他方式利用启用Internet的安全摄像机,包括用肩膀冲浪来获取信息(例如凭据),监视受害者等等,这些信息可以用于进行令人信服的网络钓鱼攻击,麦克风可以用来监视会议并获取敏感信息。” Addison补充说,这些日益增加的威胁要求企业定期为其员工提供意识培训,以确保遵循优秀实践并保持警惕。 ESET网络安全专家杰克·摩尔(Jake Moore)说:“放置在家庭和办公室中的IoT设备的大量增长是网络犯罪分子利用特定类型的恶意软件获利的优秀机会。物联网设备通常打包有弱(如果有的话)内置的安全功能,因此公众从一开始就忽略了。安全更新也很少出现,这给设备...
- 下一篇
微软称定制 Windows 10 是侵犯版权的行为
禁用“Windows 内置的恼人功能”也是如此。 自定义 Windows 10,禁用操作系统捆绑的一些功能,删除特定的应用,卸载一些组件,这些都是很多用户在安装微软操作系统后要做的事情。 然而,软件巨头微软却声称做这些其实是违反了 DMCA 的规定,虽然听起来很奇怪。 而 Ninjutsu OS 的开发者可能对此感受最深。 Ninjutsu 项目是专门以渗透测试为目的而打造的,它是一款 Windows 10 的重度定制版,配备了非常丰富的应用库,包括安全应用,用于帮助研究人员和专家进行各种测试和安全审计。 5 月 7 日发布的 Ninjutsu OS 声称要将 Windows 10 改造成一个渗透测试的强大堡垒,增加了大量针对安全专家的工具(约 800 个),还有一些针对普通用户的工具(例如 qBitTorrent),同时还删除了在这种环境下被认为不需要或不必要的功能。 它是基于 Windows 10 的,仍然需要微软操作系统的授权,所以从本质上来说,Ninjutsu OS 是 Windows 10 的定制版,它允许用户从一开始就预装一系列的应用,这样用户在安装操作系统后就不用再手动操...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- MySQL8.0.19开启GTID主从同步CentOS8
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2整合Redis,开启缓存,提高访问速度
- Windows10,CentOS7,CentOS8安装Nodejs环境
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- CentOS7设置SWAP分区,小内存服务器的救世主