朝鲜情报部门黑客从事 BEC 骗局，入侵公司网络通过邮件诈骗

技术编辑：芒果果丨发自思否编辑部
SegmentFault 思否报道丨公众号：SegmentFault

近日的 ESET 虚拟世界安全会议上，斯洛伐克杀毒软件制造商 ESET 的安全研究人员透露，朝鲜平壤国家资助的黑客团伙精心策划了一次新的行动。

代号为“Operation In（ter）ception”，这场运动的目标是网络间谍和金融盗窃。

Eset 安全研究员 Jean-Ian Boutin 在会议直播中对成千上万的观众发表了讲话，他表示，这些攻击是由 Lazarus Group 的成员实施的。Lazarus Group 是朝鲜最大的黑客组织，隶属于朝鲜情报部门。

Jean-Ian Boutin 描述了 Lazarus 的成员如何使用 LinkedIn 的招聘人员档案和私人信息来接近他们的目标。在进行工作面试的幌子下，将据称包含工资和其他有关他们未来工作信息发送给受害者。

ESET 的研究人员说，这些档案中含有被恶意软件感染的文件，使得攻击者能够进入受害者的电脑。

Jean-Ian Boutin 称，Lazarus 黑客就会停止面试过程，告诉受害者他们没有得到这份工作，然后立即删除 LinkedIn 上的个人资料。但在受感染员工的电脑上，黑客将继续扩大他们入侵的公司网络的权限。

Jean-Ian Boutin 说：“我们发现攻击者通过查询 AD（Active Directory）服务器获得了包括管理员账户在内的雇员名单，随后对管理员账户进行了密码暴力攻击。”

ESET 表示，根据他们发现的特定于“ Operation In (ter) ception”的恶意软件，这些攻击似乎发生在2019年9月至12月之间。目标通常包括在欧洲航空航天和军事公司工作的雇员，这些公司多数都收到了竞争对手或知名度更高的公司的虚假工作邀请。

据 Jean-Ian Boutin 所说，一旦黑客从被攻击的公司那里收集到他们需要的所有情报和专有数据文件，入侵行为就会更进一步。黑客们不会抹去他们的足迹，而是继续试图欺骗受感染公司的商业伙伴。

Jean-Ian Boutin 说：“Lazarus 的黑客们入侵公司的电子邮件信箱中寻找未付的发票，之后会敦促客户付款，并提供新的银行账户。”

ESET 表示，企图诈骗受害者客户的行为（也被称为商业电子邮件泄露’BEC骗局’）受到了挫败，因为商业伙伴通常会注意到黑客后续电子邮件中不对劲的地方。

Lazarus Group 的诈骗方式并不新奇，朝鲜黑客在过去三年中曾多次进行正对银行加密货币交易的「网络抢劫」。安全研究人员认为，朝鲜黑客就是这样入侵 Redbanc 的，Redbanc 是一家连接智利所有银行 ATM 基础设施的公司。

此外，利用 LinkedIn 接近目标已经成为朝鲜黑客的一个老战术。 2019 年 1 月，同一批 Lazarus 黑客利用 LinkedIn 信息联系银行部门的员工，并通过 Skype 安排面试，，受害者会收到恶意软件文件。

2019 年 9 月，美国财政部对与朝鲜黑客部门有关的实体实施了制裁，声称朝鲜利用其黑客团体窃取金钱，并为平壤的武器和导弹计划筹集资金。