Var försiktig när du öppnar CV:t för jobbansökan "Le Xuan Son".

Det finns en ny cyberattackkampanj riktad mot företag i Vietnam. Illustrationsfoto: Bloomberg.

Säkerhetsforskare på SEQRITE Labs har upptäckt en sofistikerad cyberattackkampanj. Kampanjen, kallad "Operation Hanoi Thief", riktar sig mot IT-avdelningar och rekryteringsbyråer i Vietnam genom att dölja CV:n.

Hackare upptäcktes först den 3 november och använde tekniken att sprida skadlig kod genom att förkläda den till ett CV från en jobbansökan. Angriparnas mål var att infiltrera det interna nätverket, ta över systemet och stjäla kunddata och affärshemligheter.

Hur skadlig kod fungerar

Enligt säkerhetsexperter skickade angriparen en serie e-postmeddelanden med jobbansökningar, och bifogade filen "Le Xuan Son CV.zip". När den packades upp innehöll den två filer, en med namnet "CV.pdf.lnk" och den andra med namnet "offsec-certified-professional.png".

Eftersom den är förklädd till en PDF- och PNG-ikon kan användare missta den för en vanlig CV-fil. När du klickar på filen aktiveras LOTUSHARVEST-viruset, som specialiserar sig på att samla in lösenordsinformation, åtkomsthistorik... och sedan skicka den till hackarens server.

Enligt GBHackers har det falska CV:t vid namn Le Xuan Son från Hanoi haft ett GitHub-konto sedan 2021. Forskare upptäckte dock att detta konto inte publicerade någon information, troligen bara för att tjäna attackkampanjen.

Attacken sker i tre steg. Efter att LNK-filen öppnats utlöser den ett specialkommando via ftp.exe-verktyget som är inbyggt i Windows. Detta är en gammal och inte längre vanlig teknik som gör att skadlig programvara kan kringgå grundläggande kontroller.

Hackare lurar företag genom att skicka CV:n under namnet "Le Xuan Son". Foto: SEQRITE .

I fas 2 luras systemet fortfarande att tro att det här är en PDF-fil eller vanlig textfil. Men vid vidare analys upptäckte forskarna att den skadliga koden infogades dolt före början av PDF-filen.

Skadlig programvara började omedelbart arbeta och döpte om verktyget certutil.exe, som finns tillgängligt i Windows, för att undvika upptäckt, och extraherade data som innehöll det slutliga skadliga filpaketet. Kommandoraden fortsatte att byta namn på filen till "CV-Nguyen-Van-A.pdf" för att lura systemet, och extraherade och dekrypterade sedan en fil med namnet "MsCtfMonitor.dll" och placerade den i mappen C:\ProgramData.

Genom att kopiera ctfmon.exe-filen från System32 till samma mapp utnyttjade angriparen DLL-kapningstekniken, vilket fick systemet att köra den skadliga filen istället för det vanliga programmet.

Slutligen aktiveras skadlig programvara LOTUSHARVEST för att stjäla information. Denna data inkluderar inloggningsinformation i webbläsarna Chrome och Edge, tillsammans med de 20 senast besökta webbadresserna, inklusive relaterad metadata.

Den stulna informationen överförs via Windows WinINet API till hackarens infrastruktur. Programvaran lägger också till datornamn och användarnamn för att skapa en identitetsprofil på servern.

Vietnamesiska företag behöver stärka skyddet

Det oroande med attackkampanjen är att LOTUSHARVEST har förmågan att dölja sig själv och fungera på egen hand. Skadlig programvara utnyttjar bibliotekets laddningsmekanism för att upprätthålla långsiktig kontroll och få åtkomst till känsliga konton och data, utöver skyddet från konventionella säkerhetsåtgärder.

Enligt bedömningen kan stulen data bli "nyckeln" för hackare att utöka sin penetration, använda farliga verktyg och göra företag till måltavlor för flerskiktsattacker eller utpressning i nästa steg.

"Allt tyder på att Hanoi Thief-kampanjen var noggrant planerad och riktade sig direkt mot vietnamesiska företag."

"Genom att utnyttja rekryteringsavdelningen, som regelbundet tar emot ansökningar utifrån men inte är fullt utrustad med cybersäkerhetsmedvetenhet, använder hackare falska filer i form av CV:n eller dokument och kan kontinuerligt omvandlas till många varianter, vilket gör risken för infektion oförutsägbar", säger Nguyen Dinh Thuy, expert på malwareanalys på Bkav.

Skripten extraherar skadlig programvaras inloggnings- och åtkomsthistorik. Foto: SEQRITE .

Enligt Bkav finns det vietnamesiska företag som har fallit offer för attackkampanjen. På grund av LOTUSHARVESTs och Hanoi Thief-kampanjens farliga natur måste användare vara extremt vaksamma med dokument som tas emot via e-post.

Företag och organisationer behöver regelbundet genomföra periodisk utbildning för anställda, öka medvetenheten och vaksamheten mot bedrägerier online. Interna övervakningssystem behöver stärkas, vilket övervakar ovanliga bibliotek eller misstänkta filer.

Standardverktygen i operativsystemet uppfyller bara grundläggande skyddsbehov, inte tillräckligt för att bekämpa modern skadlig kod och virus som kan gömma sig, finnas kvar länge och tränga djupt in i systemet. Därför är det nödvändigt att installera ett e-postövervakningssystem och använda licensierat antivirusprogram för bästa skydd.

Källa: https://znews.vn/canh-giac-khi-mo-cv-xin-viec-cua-le-xuan-son-post1608612.html