LinkedInのメッセージを悪用したスピアフィッシングを通じて企業から金銭を窃取しようとした詐欺攻撃が見つかった。発見したセキュリティ研究者は、国家的組織を背景に活動する著名な攻撃者グループ「Lazarus」の関与を指摘している。
この手口では、攻撃者がLinkedInで航空防衛企業のCollins Aerospace(旧Rockwell Collins)やGeneral Dynamicsの人事担当者を装う偽のアカウントを作成し、標的とした企業の関係者に求人メッセージを送り付ける手口で侵入した。さらに、企業間取引にまつわる情報を得て、取引先にもなりすましてやりとりを重ねながら金銭を振り込ませようとしたという。
攻撃に使われたLinkedInの偽アカウントから送信されたメッセージ(出典:ESET)
攻撃を発見したESETのマルウェア研究者、Dominik Breitenbacher氏は、メッセージが一見して著名な企業から送信された信頼できる求人情報だったが、LinkedInのプロフィールは偽物であり、悪意のあるファイルが送られていたと解説。攻撃に使われたマルウェアのサンプル名をもとに「「Operation In(ter)ception:」と名付けられた。
標的になったのは、航空宇宙・防衛分野の企業だった。相手をだます手口には、OneDriveへのリンクを含むメールも使われたが、メールアカウントはLinkedInの偽のプロフィールに合致したという。
攻撃者は侵入後に、さまざまなツールやWindowsのユーティリティーなどを悪用しながら侵入先を広げたとする。そして、被害者と顧客の未処理の請求書に関するやりとりを見つけてそこに関わり、攻撃者の銀行口座に請求分の支払いをするよう被害者の顧客に要求したことが分かった。
結果的に、顧客がこの要求を疑い被害者に確認したことで攻撃は未遂に終わったが、一連の手法は「ビジネスメール詐欺」に似ている。
攻撃は2019年9~12月に行われた。ESETでは標的の業種や開発環境、セキュリティ対策側の分析を回避する手法の類似性といった特徴から、Lazarusが関与している可能性を指摘している。
