Durante o último ano, a ESET levou a cabo uma investigação sobre incidentes de segurança no espaço aeroespacial em duas companhias afetadas na Eurora. Uma investigação colaborativa permitiu documentar um malware não documentado e ativo desde dezembro de 2019.
A operação realizada pela ESET foi denominada por Operacion In(ter)ception, baseada no nome do malware identificado: Inception.dll., que foi especialmente criado para atingir estas companhias e para permanecer “escondido” e permanente no sistemas afetados.
Como na maior parte de ataques desta linha, os atacantes recorreram a engenharia social via LinkedIn com ofertas de emprego atraentes, mal falsas, enganando assim, uma serie de potenciais vítimas. Tendo estabelecido uma posição inicial, os atacantes implantaram o malware – composto por vários estágios – e recorreram juntamente a ferramentas de código aberto modificadas para alavancar a cadeia de infeção. Além dos malwares, os criminosos usavam técnicas living of the land, abusando de ferramentas e funções legítimas do SO.
Depois de chamarem a atenção das vítimas, os criminosos enviavam ficheiros maliciosos na conversa, mascarados como documentos relacionados à oferta de emprego em questão.
O ficheiro enviado era um ficheiro RAR protegido por password que continha um ficheiro LNK. Quando aberto, o LNK iniciava um script linha de comandos que abria um ficheiro PDF remoto no navegador de Internet padrão .
Este ficheiro PDF continha informações salariais e relativas à nova posição apresentada via LinkedIn – na verdade era apenas o engodo inicial para desviar a atenção da vítima.
Recuando ao ficheiro LNK, este ficheiro executava na linha de comandos um script, que ao mesmo tempo que criava o PDF, também executava outras tarefas, nomeadamente:
- Criava uma nova pasta;
- Copiava o programa WMIC.exe para essa diretoria;
- Finalmente, criava uma tarefa no sistema para executar um script XSL remoto periodicamente através do ficheiro WMIC.exe copiado para a diretoria.
Segundo a investigação da ESET, os criminosos empregaram várias ferramentas maliciosas, incluindo malware personalizado, com vários estágios e versões modificadas de ferramentas de código aberto.
- Custom downloader (Stage 1)
- Custom backdoor (Stage 2)
- A modified version of PowerShdll – a tool for running PowerShell code without the use of
- powershell.exe
- Custom DLL loaders used for executing the custom malware
- Beacon DLL, likely used for verifying connections to remote servers
- A custom build of dbxcli – an open-source, command-line client for Dropbox; used for data exfiltration
O primeiro estágio é responsável por utilizar o script XLS remoto para descarregar o 2nd stage – uma backdoor especificamente criada em forma de DLL desenvolvida em C++ – e executá-la via DLL injection.
Esta DLL efetua e recebe comandos periódicos do C2, e.g., enviar informações básicas sobre o computador, carregar um módulo ou alterar a configuração do malware. Durante a sua execução, a ESET identificou que um módul foi utilizado para descarregar um novo ficheiro, denominado: PowerShdll – uma versão modificado do Powershell do Windows como forma de executar comandos powershell evitando a assim, a sua deteção.
De acordo com a ESET, o objetivo principal da operação era espionagem. No entanto, em um dos casos, os atacantes tentaram o acesso à conta de e-mail de uma vítima por meio de um ataque de BEC)como o estágio final da operação.
Embora não existam indicadores forte que permitam relacionar estes ataques a um grupo em específico, a ESET admite existir potencialmente uma ligação com o conhecido grupo Lazarus.
Desfrute do relatório aqui.