Di Pierguido Iezzi, Co-Founder Swascan

Una recente campagna malware ha colpito una serie di aziende aerospaziali e militari europee e del Medio Oriente tramite i messaggi LinkedIn di spear phishing, mascherati come offerte di lavoro.

Gli aggressori stanno impersonando i dipendenti delle risorse umane di Collins Aerospace e General Dynamics in una campagna di spear-phishing che sfrutta il servizio di messaggistica di LinkedIn.

Alle vittime vengono inviate offerte di lavoro fasulle che includono documenti dannosi progettati per recuperare scaricare un malware in grado di esfiltrare dati.

La campagna, soprannominata “Operation In(ter)ception”, aveva come obiettivo primario lo spionaggio industriale, ma, in un caso, gli aggressori hanno anche cercato di utilizzare l’account di posta elettronica di una vittima in un attacco di business email compromise (BEC), dimostrando che possono avere anche motivazioni finanziarie.

Questi non sono Cyber attacchi casuale e di basso livello, ma sono stati altamente mirati e si sono affidati al social engineering su LinkedIn e a un malware multistadio personalizzato.

Per operare con la massima indiscrezione, gli aggressori hanno spesso ricompilato il loro malware, abusato dei programmi di Windows e impersonato software e aziende legittime.

A quanto sembra, il malware utilizzato in Operation In(ter)ception non è stato mai precedentemente documentato.

Il modus operandi

Alle vittime è stata inviata un’offerta di lavoro in un messaggio LinkedIn da parte di una “nota azienda in un settore rilevante”. Tra questi vi erano Collins Aerospace (ex Rockwell Collins), un importante fornitore statunitense di prodotti aerospaziali e per la difesa, e General Dynamics, un’altra grande società con sede negli Stati Uniti.

Il file “offerta di lavoro” era un archivio RAR protetto da password contenente un file LNK. Una volta aperti, i messaggi contenevano un documento PDF apparentemente innocuo che mostrava informazioni sullo stipendio relative al falso lavoro.

Tuttavia, il PDF era un’esca: Dietro le quinte, veniva eseguito un Command Prompt (un programma di interfaccia a riga di comando utilizzato per eseguire comandi in Windows) per creare un’attività pianificata.

Qui gli aggressori si avvalgono di un componente di Windows chiamato Task Scheduler, che consente di programmare il lancio dei programmi a orari prestabiliti.

L’attività pianificata è stata impostata per eseguire uno script XSL remoto. I file XSL, o Extensible Stylesheet Language file, sono comunemente usati per l’elaborazione dei dati all’interno di file XML.

Da qui, lo script XSL ha scaricato i payload del malware codificati in base64, che sono stati poi decodificati da una utility legittima di Windows, chiamata certutil.

È stato poi utilizzato un altro programma di comando di Windows, chiamato rundll32 (usato per caricare le DLL), per scaricare ed eseguire finalmente una DLL PowerShell.

L’abuso di questi due legittimi programmi di utilità Windows preinstallati dagli aggressori è un metodo comune chiamato “Living off the land”, usato come un modo per svolgere segretamente un’attività mascherata come attività regolare.

Poiché la registrazione dei comandi PowerShell eseguiti è disabilitata per impostazione predefinita, i ricercatori non sono riusciti a recuperare i comandi utilizzati dal malware.

È stato tuttavia scoperto che gli aggressori hanno interrogato il server AD (Active Directory) per ottenere un elenco dei collaboratori, compresi i conti dell’amministratore, e successivamente hanno eseguito attacchi di forza bruta con password sui conti dell’amministratore.

Gli aggressori hanno archiviato i dati raccolti in un file RAR.

Sulla base dei job title dei dipendenti inizialmente presi di mira tramite LinkedIn, sembra che l’Operazione In(ter)ception avesse come bersaglio informazioni tecniche e commerciali.

Tuttavia, né l’analisi del malware né l’indagine hanno permesso di scoprire quale fosse il vero bersaglio.

In una situazione, gli aggressori hanno trovato una comunicazione (nelle e-mail della vittima) tra la vittima e un cliente in merito a una fattura non risolta. Gli aggressori hanno seguito la conversazione, fingendo di essere la vittima, e hanno esortato il cliente a pagare la fattura su un conto bancario controllato da un Criminal Hacker.

Pur non avendo trovato forti prove che collegassero gli attacchi a un colpevole preciso, diversi indizi che suggeriscono un “possibile legame” con il gruppo Lazarus, comprese le somiglianze nel targeting, nell’ambiente di sviluppo e nelle tecniche anti-analisi utilizzate.