Hackers hebben zich voorgedaan als HR-medewerkers van twee bedrijven om via spear phishing gebruikers van LinkedIn te infecteren met malware. De neppe HR-medewerkers stuurden werkzoekenden vacatures via LinkedIn die gevuld waren met malware om data van de slachtoffers te stelen.
De aanvallen vonden plaats tussen september en december in 2019 en hebben inmiddels de naam ’Operation In(ter)ception’. De aanvallen waren gericht op individuen werkzaam in de ruimtevaart en militaire organisaties in Europa en het Midden-Oosten.
De slachtoffers van de aanvallen kregen vacatures toegestuurd via LinkedIn. De vacatures leken afkomstig te zijn van bekende en gerespecteerde bedrijven in de sectoren waarin de slachtoffers werkzaam waren. Voorbeelden van aangevallen bedrijven Collins Aerospace en General Dynamics.
Slinkse handelswijze
Meestal stuurden de neppe HR-medewerkers een vacature in de vorm van een wachtwoord beveiligd RAR-archief dat een LNK-bestand bevat. Zodra de slachtoffers het bestand openen, krijgen zij informatie over de baan te zien zoals het salaris. Maar dit PDF-bestand is gewoon een afleiding.
Op het moment dat slachtoffers het PDF-bestand openen, start een Command Prompt een geplande taak die een remote XSL-script uitvoert. Het script downloadt base64-encoded payloads die het vervolgens ontcijfert met behulp van certutil, een command-line programma dat wordt gebruikt voor het weergeven van certification authority (CA), backup en herstellen van CA en het verifiëren van de certificaten.
Rundll32, dat wordt gebruikt om 32-bits dynamic-links libraries uit te voeren, zou een PowerShell DLL downloaden en uitvoeren.
Reactie van LinkedIn
LinkedIn heeft geen bewijs gevonden voor specifieke groepen of individuen, maar overeenkomsten in de manier waarop de aanvallen zijn uitgevoerd, wijzen naar de Lazarus-groep. Het is niet voor het eerst dat malware wordt verspreid via LinkedIn. In 2019 kwamen veiligheidsonderzoekers erachter dat hackers zich steeds vaker richten op LinkedIn-gebruikers.
16 uur geleden
