Tech
Now Reading
Военный сектор США атакован группировкой Hidden Cobra
Bright Idea

Злоумышленники отправляли сотрудникам военных предприятий фишинговые письма с целью взлома сетей.

Северокорейские кибер преступники атаковали оборонные и аэрокосмические предприятия в США. Злоумышленники отправляли сотрудникам военной промышленности поддельные предложения о работе с целью взлома компьютерных сетей.

Как сообщили специалисты из компании McAfee, кибер атаки начались в конце марта 2020 года и продолжались до мая. Вредоносная кампания, получившая название «Operation North Star», связана с северокорейской кибер преступной группировкой Lazarus (она же Hidden Cobra).

В ходе атак преступники отправляли фишинговые электронные письма, побуждавшие получателей открывать поддельные документы с предложениями о работе. Как отметили эксперты, злоумышленники использовали технику внедрения шаблона (template injection). Файл .docx представляет собой ZIP-файл, содержащий несколько частей. Используя технику внедрения шаблона, злоумышленник помещает ссылку в файл шаблона в одном из файлов .XML. По ссылке загружался файл шаблона (DOTM) с удаленного сервера. Некоторые из этих файлов шаблонов переименовываются в файлы JPEG на удаленном сервере, чтобы избежать любых подозрений. Файлы шаблонов содержат код макроса, написанный на языке Visual Basic, который загружает DLL-имплант в систему жертвы. Вредоносные DLL-файлы, доставленные через поддельные документы, хакеры использовали для осуществления кибер шпионажа.

Злоумышленники всегда пытаются остаться незамеченными в ходе атак, поэтому часто наблюдается такая техника, как имитация User-Agent, присутствующего в системе. Например, использование одной и той же строки User-Agent из конфигураций web-браузера жертвы позволяет избежать обнаружения и замаскировать трафик. В данном случае преступники с помощью Windows API ObtainUserAgentString получили User-Agent и использовали это значение для соединения с C&C-сервером.

По словам экспертов, хакеры обеспечивали себе персистентность на системе путем доставления файла LNK в папку автозагрузки.

What's your reaction?
Love It
0%
Interested
0%
Meh...
0%
What?
0%
Hate It
0%
Sad
0%
About The Author
Dmitry Tsepilovan
I've always had the ability to see the bigger picture and work towards a greater goal.