Durante o último ano, a ESET levou a cabo uma investigação sobre incidentes de segurança no espaço aeroespacial em duas companhias afetadas na Eurora. Uma investigação colaborativa permitiu documentar um malware não documentado e ativo desde dezembro de 2019.
A operação realizada pela ESET foi denominada por Operacion In(ter)ception, baseada no nome do malware identificado: Inception.dll., que foi especialmente criado para atingir estas companhias e para permanecer “escondido” e permanente no sistemas afetados.
Como na maior parte de ataques desta linha, os atacantes recorreram a engenharia social via LinkedIn com ofertas de emprego atraentes, mal falsas, enganando assim, uma serie de potenciais vítimas. Tendo estabelecido uma posição inicial, os atacantes implantaram o malware – composto por vários estágios – e recorreram juntamente a ferramentas de código aberto modificadas para alavancar a cadeia de infeção. Além dos malwares, os criminosos usavam técnicas living of the land, abusando de ferramentas e funções legítimas do SO.
Depois de chamarem a atenção das vítimas, os criminosos enviavam ficheiros maliciosos na conversa, mascarados como documentos relacionados à oferta de emprego em questão.
O ficheiro enviado era um ficheiro RAR protegido por password que continha um ficheiro LNK. Quando aberto, o LNK iniciava um script linha de comandos que abria um ficheiro PDF remoto no navegador de Internet padrão .
Este ficheiro PDF continha informações salariais e relativas à nova posição apresentada via LinkedIn – na verdade era apenas o engodo inicial para desviar a atenção da vítima.
Recuando ao ficheiro LNK, este ficheiro executava na linha de comandos um script, que ao mesmo tempo que criava o PDF, também executava outras tarefas, nomeadamente:
- Criava uma nova pasta;
- Copiava o programa WMIC.exe para essa diretoria;
- Finalmente, criava uma tarefa no sistema para executar um script XSL remoto periodicamente através do ficheiro WMIC.exe copiado para a diretoria.
Segundo a investigação da ESET, os criminosos empregaram várias ferramentas maliciosas, incluindo malware personalizado, com vários estágios e versões modificadas de ferramentas de código aberto.
- Custom downloader (Stage 1)
- Custom backdoor (Stage 2)
- A modified version of PowerShdll – a tool for running PowerShell code without the use of
- powershell.exe
- Custom DLL loaders used for executing the custom malware
- Beacon DLL, likely used for verifying connections to remote servers
- A custom build of dbxcli – an open-source, command-line client for Dropbox; used for data exfiltration
O primeiro estágio é responsável por utilizar o script XLS remoto para descarregar o 2nd stage – uma backdoor especificamente criada em forma de DLL desenvolvida em C++ – e executá-la via DLL injection.
Esta DLL efetua e recebe comandos periódicos do C2, e.g., enviar informações básicas sobre o computador, carregar um módulo ou alterar a configuração do malware. Durante a sua execução, a ESET identificou que um módul foi utilizado para descarregar um novo ficheiro, denominado: PowerShdll – uma versão modificado do Powershell do Windows como forma de executar comandos powershell evitando a assim, a sua deteção.
De acordo com a ESET, o objetivo principal da operação era espionagem. No entanto, em um dos casos, os atacantes tentaram o acesso à conta de e-mail de uma vítima por meio de um ataque de BEC)como o estágio final da operação.
Embora não existam indicadores forte que permitam relacionar estes ataques a um grupo em específico, a ESET admite existir potencialmente uma ligação com o conhecido grupo Lazarus.
Desfrute do relatório aqui.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.