Kibercinayətkarlar şəbəkələrə "hack" etmək məqsədi ilə hərbi müəssisələrin işçilərinə fişinq elektron poçtları göndəriblər.

Şimali Koreyalı kibercinayətkarlar ABŞ-dakı müdafiə və aerokosmik şirkətlərinə hücum ediblər. Təcavüzkarlar hərbi sənaye işçilərinə kompüter şəbəkələrinə girmək üçün saxta iş təklifləri göndəriblər. McAfee mütəxəssislərinin fikrincə, kiberhücumlar 2020-ci il martın sonunda başlayıb. "Şimali Ulduz Əməliyyatı" adı verilən zərərli kampaniya Şimali Koreyanın Lazarus (aka Hidden (Gizli) Kobra) adlı kibercinayətkar qrupu ilə əlaqələndirilir.

Hücumlarda cinayətkarlar alıcılara saxta iş təklifi sənədlərini açmağı tələb edən fişinqli elektron poçtlar göndəriblər.

Mütəxəssislərin qeyd etdiyi kimi, təcavüzkarlar şablon "injection" texnikindən istifadə ediblər. Docx faylı birdən çox hissəsi olan ZIP faylıdır. Şablon "injection" texnikasını istifadə edərək, təcavüzkar .XML sənədlərindən birinə şablon sənədinə bir keçid yerləşdiriblər. Bağlantı uzaq bir serverdən şablon sənədini (DOTM) yükləyib. Bu şablon sənədlərindən bəziləri, heç bir şübhə yaratmamaq üçün uzaq serverdəki JPEG fayllarına dəyişdirilib.

Şablon sənədlərində Visual Basic-də yazılmış makro kod var ki, qurbanın sisteminə DLL implantı yükləyir. Saxta sənədlərlə çatdırılan zərərli DLL faylları hakerlər tərəfindən kiber casusluq həyata keçirmək üçün istifadə edilib.

Təcavüzkarlar həmişə hücumlar zamanı gözlənilməz qalmağa çalışırlar, buna görə sistemdə mövcud olan İstifadəçi-Agenti təqlid etmək kimi üsullara tez-tez rast gəlinir. Məsələn, qurbanın veb brauzerinin konfiqurasiyasında eyni İstifadəçi-Agent sətirindən istifadə aşkarlanmanın qarşısını alır və trafikə mane olur. Bu vəziyyətdə cinayətkarlar Windows API ObtainUserAgentString istifadə edərək İstifadəçi Agent əldə ediblər və C&C serverinə qoşulmaq üçün bu üsula əl atıblar. (ted.az)