以工作机会为由的钓鱼攻击活动，目标国防航空工业 – 作者:黑鸟

周三，以色列方面表示其阻止了与朝鲜相关的黑客组织针对其国防工业的网络攻击。以色列国防部称，这次袭击被实时阻断，其计算机系统并没有造成损失。

然而以色列的网络安全公司Clearsky今日却发报告称，朝鲜黑客入侵了以色列的计算机系统，并很可能窃取了大量机密数据。而以色列官员对此表示担心，称这些数据可能会与朝鲜的盟友伊朗进行共享。

这句话实际上也不是空穴来风，黑鸟从网上看了一些描述，就可以知道这几个国家之间的关系复杂。

据Clearsky报告表示，这个名为 Dream job 的活动自今年年初以来就一直很活跃，评估表示已经成功感染了以色列乃至全球的数十家公司和组织。主要目标包括国防航空，政府以及公司的特定员工。攻击活动幕后是由著名朝鲜APT组织Lazarus进行。

实际上，这起攻击活动就是上次黑鸟报道过的这起【黑客利用领英假装招聘，发起针对性网络攻击】 ，手法如出一辙。

前不久的mcafee也发布了相关报告，称类似的活动也针对美国国防部、航空单位进行。

报告地址:

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/operation-north-star-a-job-offer-thats-too-good-to-be-true/

具体攻击过程在本报告中更详细的进行了描述。

首先，Lazarus组织成员通过借助”梦寐以求的工作机会”来试图对目标进行钓鱼，这些工作机会均是美国一些最著名的国防和航空航天公司，包括波音，McDonnell Douglas和BAE。

当然这一切都是建立在复杂的社会工程活动基础之上的，其中包括：侦察，创建虚拟的领英个人资料，像目标邮箱地址发送电子邮件以及直接在电话上进行持续的沟通，此外就是通过APP应用进行沟通，例如领英本身的聊天应用，以及WhatsApp。

伪造的过程如下。

1、从一个正常的波音员工进行简历复制，伪造成波音员工身份，当然这个人的所属组织架构也被攻击者了解的一清二楚

2、完成攻击后直接删除假账号资料

话术如下：绿色是受害者，白色是攻击者，具体就是攻击者忽悠受害者称有一份梦寐以求的工作可以提供给对方，最后受害者也表示可以谈谈薪水之类的。

随后，攻击者发送给受害者一份伪装成公司简介的恶意文档，分为三种攻击情况。

1、通过修改后的开源PDF阅读器和一份PDF文件，通过魔改后的PDF阅读器打开PDF文件后会运行恶意代码

2、文档加载恶意Dotm文件的方式进行攻击

3、使用带恶意宏的DOC文档进行投递

其中这些诱饵文件长这个样子

比较有趣的攻击方法就是这个利用了修改后的开源PDF阅读器进行的攻击，其中投递的压缩文件中包含了PDF阅读器程序和一个PDF文档。

通过自带的魔改后的PDF阅读器，打开文档显示如下。

这时候已经执行了恶意代码了。

如果用正常的PDF阅读器打开显示就会不一样。

因此，这时候攻击者直接附上一句比如文档已经进行加密处理了啪啦啪啦必须要用那个PDF阅读器打开才能出现内容，就很容易忽悠，实际上也确实如此。毕竟如果有这么一份好的攻击机会放在面前，会进行加密处理内心可能会认为很正常。

其他两种方法比较普遍，可以自行阅读原报告查阅。

感染目标后，攻击者收集有关公司的活动以及财务状况，之前黑鸟攻击仅仅是为了金钱，实际上并不是，情报和金钱的窃取是同步进行的。

因此，除非你确认了这个向你推荐工作的人是真 实 身份，否则不要接收任何有关这个想你推荐工作的人的一切文件。

报告下载地址：

https://github.com/blackorbird/APT_REPORT/blob/master/lazarus/Dream-Job-Campaign.pdf

来源：freebuf.com 2020-08-14 12:54:45 by: 黑鸟