Να είστε προσεκτικοί όταν ανοίγετε το βιογραφικό σημείωμα της αίτησης εργασίας του «Le Xuan Son»

Υπάρχει μια νέα εκστρατεία κυβερνοεπίθεσης που στοχεύει επιχειρήσεις στο Βιετνάμ. Φωτογραφία-εικονογράφηση: Bloomberg.

Ερευνητές ασφαλείας στα εργαστήρια SEQRITE ανακάλυψαν μια εξελιγμένη εκστρατεία κυβερνοεπίθεσης. Με την ονομασία «Επιχείρηση Κλέφτης Ανόι», η εκστρατεία στοχεύει τμήματα πληροφορικής και γραφεία προσλήψεων στο Βιετνάμ, μεταμφιέζοντας βιογραφικά σημειώματα.

Ανακαλύφθηκε για πρώτη φορά στις 3 Νοεμβρίου, οι χάκερ χρησιμοποίησαν την τεχνική της εξάπλωσης κακόβουλου λογισμικού μεταμφιέζοντάς το σε βιογραφικό σημείωμα αίτησης εργασίας. Στόχος των εισβολέων ήταν να διεισδύσουν στο εσωτερικό δίκτυο, να καταλάβουν το σύστημα και να κλέψουν δεδομένα πελατών και επιχειρηματικά μυστικά.

Πώς λειτουργεί το κακόβουλο λογισμικό

Σύμφωνα με ειδικούς ασφαλείας, ο εισβολέας έστειλε μια σειρά από email με αιτήσεις εργασίας, επισυνάπτοντας το αρχείο «Le Xuan Son CV.zip». Όταν αποσυμπιέστηκε, περιείχε δύο αρχεία, το ένα με όνομα «CV.pdf.lnk» και το άλλο με όνομα «offsec-certified-professional.png».

Επειδή είναι μεταμφιεσμένο ως εικονίδιο PDF και PNG, οι χρήστες ενδέχεται να το εκλάβουν εσφαλμένα με ένα κανονικό αρχείο CV. Όταν κάνετε κλικ σε αυτό, το αρχείο θα ενεργοποιήσει τον ιό LOTUSHARVEST, ο οποίος ειδικεύεται στη συλλογή πληροφοριών κωδικού πρόσβασης, ιστορικού πρόσβασης... και στη συνέχεια στην αποστολή τους στον διακομιστή του χάκερ.

Σύμφωνα με το GBHackers , το ψεύτικο βιογραφικό με το όνομα Le Xuan Son από το Ανόι διατηρούσε λογαριασμό στο GitHub από το 2021. Ωστόσο, οι ερευνητές ανακάλυψαν ότι αυτός ο λογαριασμός δεν δημοσίευε καμία πληροφορία, πιθανότατα μόνο για να εξυπηρετήσει την εκστρατεία επίθεσης.

Η επίθεση εξελίσσεται σε τρία στάδια. Αφού ανοίξει το αρχείο LNK, ενεργοποιείται μια ειδική εντολή μέσω του εργαλείου ftp.exe που είναι ενσωματωμένο στα Windows. Πρόκειται για μια παλιά και όχι πλέον κοινή τεχνική που επιτρέπει στο κακόβουλο λογισμικό να παρακάμπτει βασικά στοιχεία ελέγχου.

Χάκερ ξεγελούν επιχειρήσεις στέλνοντας βιογραφικά με το όνομα «Le Xuan Son». Φωτογραφία: SEQRITE .

Στη φάση 2, το σύστημα εξακολουθεί να ξεγελιέται και να πιστεύει ότι πρόκειται για αρχείο PDF ή απλό κείμενο. Ωστόσο, μετά από περαιτέρω ανάλυση, οι ερευνητές ανακάλυψαν ότι ο κακόβουλος κώδικας είχε εισαχθεί κρυμμένος πριν από την αρχή του αρχείου PDF.

Το κακόβουλο λογισμικό άρχισε αμέσως να λειτουργεί, μετονομάζοντας το εργαλείο certutil.exe που είναι διαθέσιμο στα Windows για να αποφύγει την ανίχνευση και εξάγοντας τα δεδομένα που περιείχαν το τελικό πακέτο κακόβουλου αρχείου. Η γραμμή εντολών συνέχισε να μετονομάζει το αρχείο σε "CV-Nguyen-Van-A.pdf" για να ξεγελάσει το σύστημα και, στη συνέχεια, εξήγαγε και αποκρυπτογράφησε ένα αρχείο με το όνομα "MsCtfMonitor.dll", τοποθετώντας το στον φάκελο C:\ProgramData.

Αντιγράφοντας το αρχείο ctfmon.exe από το System32 στον ίδιο φάκελο, ο εισβολέας εκμεταλλεύτηκε την τεχνική hijacking του DLL, με αποτέλεσμα το σύστημα να εκτελέσει το κακόβουλο αρχείο αντί για το κανονικό πρόγραμμα.

Τέλος, το κακόβουλο λογισμικό LOTUSHARVEST ενεργοποιείται για να κλέψει πληροφορίες. Αυτά τα δεδομένα περιλαμβάνουν πληροφορίες σύνδεσης σε προγράμματα περιήγησης Chrome και Edge, μαζί με τις 20 διευθύνσεις URL που επισκέφτηκαν πιο πρόσφατα, συμπεριλαμβανομένων των σχετικών μεταδεδομένων.

Τα κλεμμένα δεδομένα μεταδίδονται μέσω του WinINet API των Windows στην υποδομή του χάκερ. Το λογισμικό προσθέτει επίσης το όνομα του υπολογιστή και το όνομα χρήστη για να δημιουργήσει ένα προφίλ ταυτότητας στον διακομιστή.

Οι βιετναμέζικες επιχειρήσεις πρέπει να ενισχύσουν την προστασία

Το ανησυχητικό σημείο στην εκστρατεία επίθεσης είναι ότι το LOTUSHARVEST έχει την ικανότητα να κρύβεται και να λειτουργεί μόνο του. Το κακόβουλο λογισμικό εκμεταλλεύεται τον μηχανισμό φόρτωσης βιβλιοθήκης για να διατηρεί μακροπρόθεσμο έλεγχο και να έχει πρόσβαση σε ευαίσθητους λογαριασμούς και δεδομένα, πέρα ​​από την προστασία των συμβατικών μέτρων ασφαλείας.

Σύμφωνα με την αξιολόγηση, τα κλεμμένα δεδομένα μπορούν να γίνουν το «κλειδί» για τους χάκερ ώστε να επεκτείνουν τη διείσδυσή τους, να αναπτύξουν επικίνδυνα εργαλεία και να μετατρέψουν τις επιχειρήσεις σε στόχους πολυεπίπεδων επιθέσεων ή εκβιασμών στα επόμενα στάδια.

«Κάθε ένδειξη είναι ότι η εκστρατεία Hanoi Thief σχεδιάστηκε σχολαστικά, στοχεύοντας απευθείας βιετναμέζικες επιχειρήσεις.»

«Εκμεταλλευόμενοι το τμήμα προσλήψεων, το οποίο λαμβάνει τακτικά αιτήσεις από έξω αλλά δεν είναι πλήρως εξοπλισμένο με γνώσεις στον κυβερνοχώρο, οι χάκερ χρησιμοποιούν πλαστά αρχεία με τη μορφή βιογραφικών σημειωμάτων ή εγγράφων και μπορούν να μετατρέπονται συνεχώς σε πολλές παραλλαγές, καθιστώντας τον κίνδυνο μόλυνσης απρόβλεπτο», δήλωσε ο κ. Nguyen Dinh Thuy, ειδικός στην ανάλυση κακόβουλου λογισμικού στην Bkav.

Τα σενάρια εξάγουν το ιστορικό σύνδεσης και πρόσβασης του κακόβουλου λογισμικού. Φωτογραφία: SEQRITE .

Σύμφωνα με το Bkav, υπάρχουν βιετναμέζικες επιχειρήσεις που έχουν πέσει θύματα της εκστρατείας επίθεσης. Λόγω της επικίνδυνης φύσης του LOTUSHARVEST και της εκστρατείας Hanoi Thief, οι χρήστες πρέπει να είναι εξαιρετικά προσεκτικοί με τα έγγραφα που λαμβάνουν μέσω email.

Οι επιχειρήσεις και οι οργανισμοί πρέπει να διεξάγουν τακτικά περιοδική εκπαίδευση για τους εργαζομένους, να αυξάνουν την ευαισθητοποίηση και την επαγρύπνηση κατά των τεχνασμάτων διαδικτυακής απάτης. Τα εσωτερικά συστήματα παρακολούθησης πρέπει να ενισχυθούν, παρακολουθώντας ασυνήθιστες βιβλιοθήκες ή ύποπτα αρχεία.

Τα προεπιλεγμένα εργαλεία στο λειτουργικό σύστημα καλύπτουν μόνο τις βασικές ανάγκες προστασίας, όχι αρκετές για την καταπολέμηση του σύγχρονου κακόβουλου λογισμικού και ιών που μπορούν να κρυφτούν, να παραμείνουν για μεγάλο χρονικό διάστημα και να διεισδύσουν βαθιά στο σύστημα. Επομένως, είναι απαραίτητο να εγκαταστήσετε ένα σύστημα παρακολούθησης email και να χρησιμοποιήσετε αδειοδοτημένο λογισμικό προστασίας από ιούς για την καλύτερη δυνατή προστασία.

Πηγή: https://znews.vn/canh-giac-khi-mo-cv-xin-viec-cua-le-xuan-son-post1608612.html