Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Zainfekowali firmę z branży lotniczej w Hiszpanii. Zaczęło się od fałszywej rekrutacji na Linkedin oraz zadania programistycznego…”Hello world”
ESET donosi o zaawansowanej kampanii hackerskiej przeprowadzonej prawdopodobnie przez grupę Lazarus (Korea Północna), a wycelowanej w kompanię z branży lotniczej w Hiszpanii (aerospace company in Spain).
Zaczęło się od celowanego phishingu, w którym atakujący podszyli się pod rekrutera z firmy META (dla przypomnienia – to ta ekipa stojąca m.in. za Facebookiem). Kontakt z pracownikiem-ofiarą rozpoczął się na Linkedin, gdzie fałszywy rekruter w trakcie prostego procesu zlecił wykonanie dwóch prostych zadań:
- Napisanie programiku „hello world”
- Napisanie programiku wypisującego kolejne liczby z ciągu Fibonacciego
Treść zadań była przekazana w formie plików wykonywalnych (bezczelne Quiz1.exe Quiz2.exe – dostarczone w formie plików Quiz1.iso Quiz2.iso), które ofiara pobrała i uruchomiła na komputerze firmowym.
Nawiązanie kontaktu na Linkedin wyglądało tak:
Po uruchomieniu „zadań”, komputer jest infekowany zaawansowanym malware, który w szczególności zawiera fragmenty kodu wpływające na efektywność rozwiązań anty-malware, jak i analizy powłamaniowej:
The most worrying aspect of the attack is the new type of payload, LightlessCan, a complex and possibly evolving tool that exhibits a high level of sophistication in its design and operation, representing a significant advancement in malicious capabilities compared to its predecessor, BlindingCan.
The attackers can now significantly limit the execution traces of their favorite Windows command line programs that are heavily used in their post-compromise activity. This maneuver has far-reaching implications, impacting the effectiveness of both real-time monitoring solutions and of post-mortem digital forensic tools.
~ms
Ma ktos moze te pliki? Kolega odchodzi z pracy w duzej miedzynardowej firmie po sporze z przelozonym i chetnie uruchomi na laptopie z pelnymi uprawnieniami do wszystkiego.
Jakoś mnie to nie dziwi.
Komputer firmowy, na którym użytkownik może uruchamiać sobie co popadnie, oczywiście dla wygody i użytkownika i atakującego.
Jakoś sporo użytkowników domowych naprawdę dobrze potrafi przeprowadzić hardening domowego komputera, ba stosuje AppLockera, a jak widać niektórzy administratorzy firmowi tego nie umieją. Świat stanął na głowie.
Coz, najslabszym, jak to zawzyczaj bywa, okazal sie interfejs bialkowy.