【黨國黑客出征】北韓黑客專攻國際航天軍事企業
近來釣魚攻擊愈玩愈刁鑽,斯洛伐克資安平台 ESET 最近公布嘅 In(ter)ception 行動報告書,就披露咗喺 2019 年 9 月至 12 月期間,一批歐洲及中東嘅航天軍事企業同時遭受攻擊,對象集中主管 Level。之所以能夠瞄準管理層出撃,因為黑客透過打工仔必備嘅 Linkedin 落手,用 Linkedin 內建通訊 DM 對象,直接播毒。根據 ESET 掌握嘅證據,推斷落手嘅組織係惡名昭彰嘅北韓人民勞動黨黑客集團 Lazarus Group,呢個 Group 專門協助北韓政權發展違禁武器,亦係全球最具威脅性勒索程式 WannaCry 嘅幕後黑手。Lazarus Group 曾於 2017 至 2018 年入侵 5 個加密貨幣交易中心,盜取 5.71 億美元,相信資金都用作發展違禁武器。今次精準釣魚攻擊,主線係軍備情報,但同時執行支線騙財任務。
ESET 報告還原 Lazarus Group 釣魚攻擊手段,黑客先係 LinkedIn 篩選一批非英語為母語嘅航天軍事企業主管,自己則假扮 Collins Aerospace 或 General Dynamics 等國際航天或國防企業嘅 HR 主管,DM 對像挖角。目標人物上釣時,就直接 DM 條 OneDrive Link,內含一份扮聘書嘅 RAR 檔,一啟動就會執行 Windows 命令提示符實用程序,並自動改名成 Intel、NVidia、Skype、OneDrive、Mozilla 等大路名字,避開掃毒組,最後預設 WMIC 定時執行遙距 XSL 程序。
此時黑客已成功潛入目標企業,下一步就係透過改造惡意程式下載器開啟後門,定期向黑客嘅 C&C Server 發訊,執行預設指令,例如收集情報壓縮成 RAR 檔,再透過 dbxcli 上存到黑客手上。另外,黑客仲會用 Windows 實用程序,例如 Certutil 解譯 base64 加密編碼去下載 Payload,與及 Rundll32 與 Regsvr32 去執行改造版本惡意程式。
The Hacker News 向 LinkedIn 嘅 Head of Trust and Safety Paul Rockwell 提及呢個 case 時,對方回應話呢類國家級間碟活動並非新鮮事,平台經驗十足,用戶受到滋擾前,經已根據相關情報主動出手對付假 Account。LinkedIn 有團隊專責打假,並有自動篩選科技協助,壞人好難逃過法眼。平台重視用戶權益,唔容許任何人違反服務守則,對於提及嘅例子,LinkedIn 已經即時行動,將呢批用戶永久封印。
偷取情報係主線,但黑客都會順手經營埋副業,入侵受害人嘅電郵通訊錄,如找到其客戶有未繳帳單,則指示對方將款項存入黑客指定戶口。方法係黑客會開設與受害人 Domain Name 完全相同但 Top Level Domain 有別嘅 Email,然後同客戶直接溝通,手法相當粗糙大膽。好在報告內嘅 Case 相當警覺,經不同渠道核實後,先揭破呢種攻擊手法。
ESET 人員強調,精準釣魚攻擊效果顯著,大家咪大意,如果再喺 LinkedIn 受到呢類 offer,都唔好急住打開檔案,俾黑客有機可乘。
相關文章:【真係新咩?】黑客變招 釣魚電郵改呃法