Un richiamo di phishing travestito da legittima inchiesta da parte di un reclutatore per una nuova opportunità di lavoro inserisce un modello dannoso in un documento Word allegato, che quindi raccoglie informazioni sull'obiettivo, di solito un tecnico altamente qualificato nel settore aerospaziale e della difesa.
L'attacco, soprannominato Operation North Star, è stato scoperto dai ricercatori del team di Advanced Threat Research di McAfee. In un recente post sul blog , i ricercatori hanno indicato che gli aggressori stavano principalmente cercando di acquisire informazioni su lavoratori high-tech mirati.
Christiaan Beek, capo scienziato e ingegnere principale senior di McAfee, ha aggiunto che le tecniche, le tattiche e le procedure (TTP) dell'Operazione North Star sono molto simili alle precedenti campagne osservate dai ricercatori McAfee nel 2017 e nel 2019.
Mentre i ricercatori di McAfee non lo sanno con certezza, Beek ha affermato che l'attacco appare molto simile ai TTP utilizzati nei precedenti attacchi di Hidden Cobra , un termine generico usato per indicare i gruppi di minacce attribuiti alla Corea del Nord dal governo degli Stati Uniti. Hidden Cobra consiste in attività di minaccia da parte di gruppi come Lazarus, Kimsuky, KONNI e APT37 del settore della sicurezza. I programmi cyber-offensivi attribuiti a questi gruppi sono stati documentati per molti anni. I loro obiettivi vanno dalla raccolta di dati sulle tecnologie militari al furto di criptovaluta dai principali scambi.
Raj Samani, capo scienziato e compagno di McAfee, ha affermato che questa recente campagna ha utilizzato documenti dannosi per installare malware sul sistema di destinazione utilizzando quello che è noto come un attacco di iniezione di modello. Questa tecnica consente a un documento armato di scaricare un modello di Word esterno contenente macro che verranno successivamente eseguite. Samani ha affermato che gli attori delle minacce pericolose utilizzano attacchi di iniezione di modelli per bypassare l'analisi statica di documenti dannosi, nonché il rilevamento, aggiungendo che le macro dannose sono incorporate nel modello scaricato.
"Questi documenti di Word malevoli contenevano contenuti relativi a lavori legittimi presso i principali appaltatori della difesa", ha affermato Samani. "Tutte e tre queste organizzazioni hanno contratti di difesa attiva di dimensioni e portata variabili con il governo degli Stati Uniti."
Samani ha aggiunto che i documenti di Word con le informazioni sul lavoro sono stati inviati a un numero sconosciuto di target dal 31 marzo fino alla recente settimana scorsa. Ha affermato che il team McAfee ha scoperto che l'Operazione North Star ha preso di mira lavoratori della difesa e aerospaziali altamente qualificati negli Stati Uniti, in Europa e in Corea del Sud. Le vittime avrebbero ricevuto un'e-mail con un allegato che conteneva informazioni sul potenziale lavoro, cosa che accade ogni giorno.
"Stavano cercando di depredare la volontà delle persone di conoscere nuovi posti di lavoro", Samani. “È una cosa molto normale che accade continuamente nel settore della sicurezza. Gli aggressori contano sul fatto che la maggior parte delle persone in cerca di lavoro non segnalerà nulla di sospetto ai loro supervisori perché non vorrebbero che pensassero di lasciare l'azienda. "
Ken Liao, vicepresidente della strategia per la sicurezza informatica presso Abnormal Security, ha affermato che questo tipo di attacchi e-mail mirati basati sull'ingegneria sociale rappresentano il rischio maggiore per i lavoratori di oggi,
"Gli attori dannosi non esiteranno ad armare la diffusa incertezza economica, il che sembra essere il caso di questi hacker che prendono di mira persone in cerca di lavoro", ha detto Liao. “I dipendenti devono essere vigili e non devono mai fare clic su un allegato che non sono sicuri al 100% da una fonte attendibile. I datori di lavoro condividono la responsabilità e devono rilevare automaticamente i segnali provenienti dall'e-mail che potrebbero costituire una minaccia. "
Brandon Hoffman, responsabile della strategia di sicurezza e CISO di Netenrich, ha affermato che, sebbene i metodi utilizzati siano molto interessanti per un pubblico tecnico, i takeaway legati alla sicurezza non sono poi così drammaticamente diversi dalle altre campagne che i ricercatori della sicurezza vedono regolarmente.
"Abbattendo la campagna nei termini più semplici, ha utilizzato tecniche di phishing, documenti Word, DLL e librerie per la persistenza ed è ancora dipendente dal comando e dal controllo per il completamento oggettivo", ha affermato Hoffman. "Mentre questa campagna è stata chiaramente avanzata e mirata, le protezioni di base come consapevolezza della sicurezza, protezione dal phishing, una solida strategia di protezione degli endpoint e informazioni sulle minacce di qualità che sono state rese operative avrebbero probabilmente reso la barra significativamente più alta per il successo di questa campagna"
La forza lavoro post- tecnologia in difesa e aerospaziale presa di mira nell'ultimo attacco di phishing è apparsa per prima su SC Media .