依托社交媒體開展的間諜活動近年來不在少數，偽裝、假冒、社會工程學等手段也是層出不窮。近日，ESET網絡安全研究人員發現了一場針對歐洲和中東航空航天和軍事組織的網絡間諜活動，這場活動背后的攻擊者不僅將目標瞄準航空航天和軍事組織的高層人員，還企圖獲取金錢利益。

因為涉及“盜版”惡意軟件樣本，這場間諜活動被稱為“盜版行動”。據悉，這場活動活躍于2019年9月至12月。

這次攻擊組織主要的目標還是在于開展間諜行動。在行動后期，他們企圖通過BEC攻擊來獲取人員的電子郵件賬戶。從該組織以往的攻擊對象和背后動機，研究人員猜測這個組織是Lazarus 團伙，代表朝鮮政府并為該國的非法武器和導彈計劃籌集資金。

Lazarus組織還被認為是大規模WannaCry勒索軟件攻擊，2016年一系列SWIFT攻擊以及Sony Pictures黑客事件的罪魁禍首。

領英的社會工程學

一開始的時候，這場活動目標明確，具有高度針對性，ESET認為攻擊者利用社會工程學的技巧誘騙這些目標組織的員工，偽裝成知名航空航天和軍事企業的HR，通過領英發送虛假崗位信息。

研究人員提及： “一旦建立起聯系，攻擊者就會將惡意文件偽裝成相關職業offer發給對方。”

作為誘餌的RAR存檔文件直接通過聊天窗口進行發送，或通過虛假的領英賬號(指向OneDrive鏈接)直接發送到電子郵箱中，表面上，其中包含PDF文檔，詳細說明特定職位和薪水信息，而實際上，它執行Windows命令提示符實用程序，執行一系列操作：

將Windows Management Instrumentation命令行工具(wmic.exe)復制到特定文件夾;

偽裝命名以逃避檢測(例如，Intel，NVidia，Skype，OneDrive和Mozilla);

創建計劃任務，這些任務通過WMIC執行遠程XSL腳本。

攻擊者針對目標企業完成第一步之后，便繼續使用自定義惡意軟件下載器，該下載器可下載之前未記錄的第二階段有效負載，一個C ++后門，可定期將請求發送到攻擊者控制的服務器，根據接收到的命令執行預定義的操作，并通過dbxcli的修改版dropbox的開源命令行客戶端，將收集到的信息作為RAR文件進行提取。

攻擊者除了使用WMIC解釋遠程XSL腳本外，還濫用本機Windows實用程序，例如“ certutil”來解碼base64編碼的下載負載，以及“ rundll32”和“ regsvr32”來運行其自定義惡意軟件。

“目前該黑客組織是國家間諜的證據還在尋找中，當然，我們也不會坐以待斃，已經開始刪除一些虛假賬號。”領英的安全部負責人表示。

經濟動機引發BEC攻擊

不只是想竊取相關人員的賬號和信息，攻擊者還企圖利用感染賬號竊取公司資金。

首先，利用受害者電子郵件中的現有通信，攻擊者試圖操縱目標公司的客戶，以將待處理的發票支付到他們的銀行帳戶。為了與客戶進行進一步的交流，他們使用了自己的電子郵件地址來模仿受害者的電子郵件地址。所幸，這一計劃并沒有成功。

該組織依靠領英和自定義的多階段惡意軟件進行社會工程。為了完成這一計劃，攻擊者經常重新編譯其惡意軟件，濫用本機Windows實用程序，并假冒合法軟件和公司。