Uważaj jakie dane publikujesz na LinkedIn
Gang cyberprzestępców Golden Chickens sprzedaje innym grupom przestępczym backdoora w ramach umowy typu malware-as-a-service (MaaS). More_eggs, bo taką nazwę otrzymał rzeczony backdoor, jest wykorzystywany w ukierunkowanych kampaniach phishingowych (tzw. spear phishing), aby zwiększyć powodzenie swoich ataków napastnicy posługują się portalem LinkedIn do zbierania informacji o swoich potencjalnych ofiarach. Jak przebiega atak? Jak odróżnić ofertę pracy od ukierunkowanego phishingu? Zapraszamy do lektury.
Ukierunkowane ataki phishingowe zyskują na popularności
Atakujący coraz częściej rezygnują z masowych kampanii phishingowych na rzecz ukierunkowanych ataków, które przynoszą pewniejszy i większy zysk. Ostatnie ataki na użytkowników LinkedIn potwierdzają ten trend. Dlaczego grupy przestępcze wzięły na cel użytkowników portalu? LinkedIn pozwala napastnikom uzyskać mnóstwo cennych informacji bez wykonywania czasochłonnego researchu. Jedną z ofiar tego typu ataku padł specjalista pracujący w branży technologii medycznych, atak nastąpił poprzez wiadomość phishingową, która naśladowała ofertę pracy. Dlaczego wiadomość wydawała się wiarygodna i ofiara straciła czujność? Oferowane stanowisko pracy doskonale współgrało z doświadczeniem i wykształceniem ofiary, wobec czego oferta nie wzbudziła żadnych podejrzeń. Niestety spreparowany e-mail z propozycją pracy zawiera w załączeniu plik zip, którego nazwa to oferowane stanowisko pracy. Po jego otwarciu uruchamia się złośliwy komponent znany jako VenomLNK, który służy jako pierwszy etap infekcji backdoorem more_eggs.
Czym grozi zainfekowanie backdoorem more_eggs?
Gdy plik more_eggs znajdzie się w systemie komputerowym ofiary, napastnicy mogą bez trudu do niego wejść i zainfekować go dowolnym rodzajem złośliwego oprogramowania: ransomware, trojanami kradnącymi dane uwierzytelniające, złośliwym oprogramowaniem bankowym lub po prostu użyć backdoora do eksfiltracji danych. W drugiej fazie ataku za pomocą Windows Management Instrumentation (WMI), podsystemu PowerShell, zostaje załadowane złośliwe oprogramowanie TerraLoader.
TerraLoader przejmuje procesy systemu Windows, w tym cmstp i regsvr32, aby załadować ostateczny ładunek złośliwego oprogramowania o nazwie TerraPreter, który jest pobierany z serwerów hostowanych na Amazon AWS w celu uniknięcia możliwych filtrów sieciowych i wdrażany jako formant ActiveX. ActiveX to struktura, która umożliwia wykonywanie kodu za pośrednictwem przeglądarki Internet Explorer i jest obsługiwana natywnie w systemie Windows.
TerraLoader jako przynętę otwiera dokument Microsoft Word, niestety po jego wdrożeniu atakujący mogą go użyć do uzyskania bezpośredniego dostępu do komputera ofiary, zainstalowania wtyczek lub dodatkowych ładunków złośliwego oprogramowania.
Jakie grupy stoją za atakami backdoorem more_eggs?
Wydaje się, że gang cyberprzestępców Golden Chickens współpracuje tylko z wyselekcjonowaną grupą napastników. Wśród jej klientów jest najprawdopodobniej grupa FIN6, która specjalizuje się w cyberprzestępczości finansowej. Grupa ta istnieje od 2014 roku i jest znana z atakowania systemów płatności online w celu kradzieży danych kart kredytowych, a następnie ich odsprzedaży w DarkWebie.
FIN6 przez lata atakował organizacje z sektora handlu detalicznego, hotelarstwa i gastronomii. Ponadto wykorzystywał backdoor more_eggs do ataków na firmy handlujące sprzętem elektronicznym. W jednej z kampanii w 2019 skierowanej do międzynarodowych firm FIN6 użył tej samej przynęty phishingowej polegającej na przesłaniu fałszywej oferty pracy.
Inną grupą znaną z używania more_eggs jest Evilnum, grupa ta głównie atakuje firmy technologiczne i platformy obrotu akcjami. Usługi hakerów Evilnum można za odpowiednią sumę wynająć.
Trzecim podmiotem zajmującym się cyberprzestępczością, o którym doniesiono, że używa more_eggs, jest Grupa Cobalt, znana również jako Carbanak. Ta grupa specjalizuje się w kradzieży pieniędzy z banków i innych organizacji finansowych. Grupa jest znana ze swojego głębokiego rozpoznania i cierpliwości – napastnicy spędzają miesiące w sieciach ofiar, zanim zdecydują się na uderzenie.
Biorąc pod uwagę typ grup, które używają more_eggs i ich wyrafinowanie, infekcja tym backdoorem powinna być traktowana bardzo poważnie i powinna prowadzić do pełnego dochodzenia kryminalistycznego, gdyż atakujący mogli już rozprzestrzenić się na krytyczne systemy i najprawdopodobniej przygotowują się do poważniejszego ataku lub wyprowadzenia poufnych informacji.
