ESET levou a cabo investigação contra organizações militares e aeroespaciais na Europa.

Durante o último ano, a ESET levou a cabo uma investigação sobre incidentes de segurança no espaço aeroespacial em duas companhias afetadas na Eurora. Uma investigação colaborativa permitiu documentar um malware não documentado e ativo desde dezembro de 2019.

A operação realizada pela ESET foi denominada por Operacion In(ter)ception, baseada no nome do malware identificado: Inception.dll., que foi especialmente criado para atingir estas companhias e para permanecer “escondido” e permanente no sistemas afetados.

Como na maior parte de ataques desta linha, os atacantes recorreram a engenharia social via LinkedIn com ofertas de emprego atraentes, mal falsas, enganando assim, uma serie de potenciais vítimas. Tendo estabelecido uma posição inicial, os atacantes implantaram o malware  – composto por vários estágios – e recorreram juntamente a ferramentas de código aberto modificadas para alavancar a cadeia de infeção. Além dos malwares, os criminosos usavam técnicas living of the land, abusando de ferramentas e funções legítimas do SO.

 

Depois de chamarem a atenção das vítimas, os criminosos enviavam ficheiros maliciosos na conversa, mascarados como documentos relacionados à oferta de emprego em questão.

 

O ficheiro enviado era um ficheiro RAR protegido por password que continha um ficheiro LNK. Quando aberto, o LNK iniciava um script linha de comandos que abria um ficheiro PDF remoto no navegador de Internet padrão .

Este ficheiro PDF continha informações salariais e relativas à nova posição apresentada via LinkedIn – na verdade era apenas o engodo inicial para desviar a atenção da vítima.

Recuando ao ficheiro LNK, este ficheiro executava na linha de comandos um script, que ao mesmo tempo que criava o PDF, também executava outras tarefas, nomeadamente:

  • Criava uma nova pasta;
  • Copiava o programa WMIC.exe para essa diretoria;
  • Finalmente, criava uma tarefa no sistema para executar um script XSL remoto periodicamente através do ficheiro WMIC.exe copiado para a diretoria.

 

Segundo a investigação da ESET, os criminosos empregaram várias ferramentas maliciosas, incluindo malware personalizado, com vários estágios e versões modificadas de ferramentas de código aberto.

  • Custom downloader (Stage 1)
  • Custom backdoor (Stage 2)
  • A modified version of PowerShdll – a tool for running PowerShell code without the use of
  • powershell.exe
  • Custom DLL loaders used for executing the custom malware
  • Beacon DLL, likely used for verifying connections to remote servers
  • A custom build of dbxcli – an open-source, command-line client for Dropbox; used for data exfiltration

O primeiro estágio é responsável por utilizar o script XLS remoto para descarregar o 2nd stage – uma backdoor especificamente criada em forma de DLL desenvolvida em C++ – e executá-la via DLL injection.

Esta DLL efetua e recebe comandos periódicos do C2, e.g., enviar informações básicas sobre o computador, carregar um módulo ou alterar a configuração do malware. Durante a sua execução, a ESET identificou que um módul foi utilizado para descarregar um novo ficheiro, denominado: PowerShdll – uma versão modificado do Powershell do Windows como forma de executar comandos powershell evitando a assim, a sua deteção.

 

De acordo com a ESET, o objetivo principal da operação era espionagem. No entanto, em um dos casos, os atacantes tentaram o acesso à conta de e-mail de uma vítima por meio de um ataque de BEC)como o estágio final da operação.

 

Embora não existam indicadores forte que permitam relacionar estes ataques a um grupo em específico, a ESET admite existir potencialmente uma ligação com o conhecido grupo Lazarus.

Desfrute do relatório aqui.