Operazione In(ter)ception, Eset: da LinkedIn hacker puntano a informazioni e denaro

I ricercatori di ESET hanno scoperto un'operazione, con un possibile collegamento con il famigerato gruppo Lazarus, atta a colpire aziende aerospaziali e militari attraverso l'uso di spear phishing, malware multistadio non convenzionale e personalizzato.

Autore: Redazione BitCity

I ricercatori di ESET hanno scoperto attacchi informatici altamente mirati, noti per l'utilizzo di spear phishing basati su LinkedIn, con l'impiego di trucchi efficaci per non essere rilevati, con il duplice obiettivo di sottrarre dati riservati e ottenere un guadagno economico. Gli attacchi, che i ricercatori ESET hanno soprannominato Operazione In(ter)ception, sulla base del campione di malware correlato "Inception.dll," hanno avuto luogo da settembre a dicembre 2019.
Le intrusioni che i ricercatori ESET hanno rilevato avevano origine da un messaggio LinkedIn. "Il messaggio conteneva un'offerta di lavoro abbastanza credibile, apparentemente proveniente da società note in settori di rilievo. Naturalmente, il profilo LinkedIn era falso, e i file inviati all'interno della comunicazione erano dannosi," ha commentato Dominik Breitenbacher, il ricercatore di ESET che ha analizzato il malware e condotto l'indagine.
I file venivano inviati direttamente tramite messaggi LinkedIn o tramite posta elettronica contenente un collegamento OneDrive. Per quest'ultima opzione, gli aggressori avevano creato account di posta elettronica corrispondenti ai falsi profili LinkedIn.
Una volta che il destinatario apriva il file, visualizzava un documento PDF apparentemente innocuo con informazioni relative l'offerta di lavoro falsa. Contemporaneamente all'apertura del file, il malware si installava, senza essere rilevato, sul computer della vittima. In questo modo, gli aggressori riuscivano a stabilire una connessione al dispositivo delle vittime.In un secondo momento, gli hacker effettuavano una serie di passaggi che ESET ha studiato e descritto nel white paper "Operazione In(ter)ception: attacchi mirati contro le società aerospaziali e militari europee."
Tra gli strumenti utilizzati dagli aggressori c'era un malware multistadio personalizzato che spesso appare come un software legittimo, versioni modificate di strumenti open-source e tecniche del cosiddetto "Living off the land" che utilizzano impropriamente utility di Windows preinstallate per eseguire varie operazioni dannose.
"Gli attacchi che abbiamo studiato hanno mostrato tutti i segni dello spionaggio, con diversi indizi che suggeriscono un possibile collegamento con il famigerato gruppo Lazarus. Tuttavia, né l'analisi del malware né l'indagine ci hanno permesso di ottenere informazioni sui file a cui gli aggressori miravano", ha commentato Breitenbacher.
Oltre allo spionaggio, i ricercatori ESET hanno anche documentato che gli aggressori tentavano di utilizzare gli account compromessi per sottrarre denaro. Tra le e-mail delle vittime, ad esempio, gli aggressori hanno trovato una comunicazione con un cliente relativa a una fattura non pagata.  Seguendo lo scambio di comunicazioni si sono inseriti esortando il cliente al pagamento, ovviamente inserendo le proprie coordinate bancarie. Fortunatamente, in quel caso il cliente si è insospettito e ha contattato la vittima per ulteriori conferme, vanificando così il tentativo degli aggressori di portare a termine un cosiddetto "business email compromise attack".

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.