依托社交媒體開展的間諜活動近年來不在少數，偽裝、假冒、社會工程學等手段也是層出不窮。近日，ESET 網絡安全研究人員發現了一場針對歐洲和中東航空航天和軍事組織的網絡間諜活動，這場活動背后的攻擊者不僅將目標瞄準航空航天和軍事組織的高層人員，還企圖獲取金錢利益。

　　因為涉及“盜版”惡意軟件樣本，這場間諜活動被稱為“盜版行動”。據悉，這場活動活躍于 2019 年 9 月至 12 月。

　　這次攻擊組織主要的目標還是在于開展間諜行動。在行動后期，他們企圖通過 BEC 攻擊來獲取人員的電子郵件賬戶。從該組織以往的攻擊對象和背后動機，研究人員猜測這個組織是 Lazarus 團伙，代表朝鮮政府并為該國的非法武器和導彈計劃籌集資金。

　　Lazarus 組織還被認為是大規模 WannaCry 勒索軟件攻擊，2016 年一系列 SWIFT 攻擊以及 Sony Pictures 黑客事件的罪魁禍首。

　　領英的社會工程學

　　一開始的時候，這場活動目標明確，具有高度針對性，ESET 認為攻擊者利用社會工程學的技巧誘騙這些目標組織的員工，偽裝成知名航空航天和軍事企業的 HR，通過領英發送虛假崗位信息。

　　研究人員提及： “一旦建立起聯系，攻擊者就會將惡意文件偽裝成相關職業 offer 發給對方。”

　　作為誘餌的 RAR 存檔文件直接通過聊天窗口進行發送，或通過虛假的領英賬號（指向 OneDrive 鏈接）直接發送到電子郵箱中，表面上，其中包含 PDF 文檔，詳細說明特定職位和薪水信息，而實際上，它執行 Windows 命令提示符實用程序，執行一系列操作：

將 Windows Management Instrumentation 命令行工具（wmic.exe）復制到特定文件夾；

偽裝命名以逃避檢測（例如，Intel，NVidia，Skype，OneDrive 和 Mozilla）；

創建計劃任務，這些任務通過 WMIC 執行遠程 XSL 腳本。

　　攻擊者針對目標企業完成第一步之后，便繼續使用自定義惡意軟件下載器，該下載器可下載之前未記錄的第二階段有效負載，一個 C ++ 后門，可定期將請求發送到攻擊者控制的服務器，根據接收到的命令執行預定義的操作，并通過 dbxcli 的修改版 dropbox 的開源命令行客戶端，將收集到的信息作為 RAR 文件進行提取。

　　攻擊者除了使用 WMIC 解釋遠程 XSL 腳本外，還濫用本機 Windows 實用程序，例如“ certutil”來解碼 base64 編碼的下載負載，以及“ rundll32”和“ regsvr32”來運行其自定義惡意軟件。

　　“目前該黑客組織是國家間諜的證據還在尋找中，當然，我們也不會坐以待斃，已經開始刪除一些虛假賬號。”領英的安全部負責人表示。

　　經濟動機引發 BEC 攻擊

　　不只是想竊取相關人員的賬號和信息，攻擊者還企圖利用感染賬號竊取公司資金。

　　首先，利用受害者電子郵件中的現有通信，攻擊者試圖操縱目標公司的客戶，以將待處理的發票支付到他們的銀行帳戶。為了與客戶進行進一步的交流，他們使用了自己的電子郵件地址來模仿受害者的電子郵件地址。所幸，這一計劃并沒有成功。

　　該組織依靠領英和自定義的多階段惡意軟件進行社會工程。為了完成這一計劃，攻擊者經常重新編譯其惡意軟件，濫用本機 Windows 實用程序，并假冒合法軟件和公司。

　　參考來源：黑客通過提供 offer 來定位軍事和航空航天工作人員

　　*本文作者：Sandra1432，轉載請注明來自 FreeBuf.COM

總結

以上是生活随笔為你收集整理的当黑客给你发offer……的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。