Lazarus Северная Корея LinkedIn SSH троян BLINDINGCAN PuTTY Microsoft Mandiant
Злоумышленники используют открытое ПО в новой кампании по найму системных инженеров.
Microsoft
заявляет , что северокорейская группировка Lazarus Group (также известная как Guardians of Peace, Whois Team и HIDDEN COBRA) — это киберпреступная группа, численностью несколько тысяч человек, находящихся под управлением северокорейского государства.
Группировка занимает лидирующие позиции среди киберпреступников. Хакеры грабят банки и взламывают базы данных криптовалютных фирм для пополнения бюджета Северной Кореи. По данным Национального центра кибербезопасности Великобритании (NCSC), АНБ и ФБР, Lazarus занимает первое место в списке угроз национальной безопасности.»
data-html=»true» data-original-title=»Lazarus»
>Lazarus (ZINC) троянизирует законное ПО с открытым исходным кодом и использует его для создания бэкдоров в организациях из сферы технологий, обороны и медиа-развлечений.
Для развертывания бэкдора
BLINDINGCAN
(ZetaNile) Lazarus используют следующее открытое ПО:
PuTTY (SSH/telnet/rlogin клиент);
KiTTY (telnet/SSH клиент);
TightVNC (программа для удаленного рабочего стола);
Sumatra PDF Reader (программа для просмотра различных типов файлов);
muPDF/Subliminal Recording (установщик ПО).
Эти троянизированные программы использовались в атаках с использованием социальной инженерии с конца апреля до середины сентября 2022 года. Зараженное ПО было нацелено в основном на инженеров и специалистов техподдержки, работающих в IT-компаниях и медиаорганизациях в Великобритании, Индии и США.
Согласно
отчету Microsoft , злоумышленники создали «поддельные аккаунты, выдающие себя за рекрутеров из технологических, оборонных и медиакомпаний, с целью переманить цели из LinkedIn — это социальная сеть для профессионалов, где они могут общаться, делиться информацией и учиться. Запрещена в РФ за неоднократное нарушение закона о персональных данных.»
data-html=»true» data-original-title=»LinkedIn»
>LinkedIn в мессенджер WhatsApp для доставки вредоносного ПО. Жертвы получили предложение работы с учетом их профессии или происхождения, и им было предложено подать заявку на вакансию в одной из нескольких законных компаний.
После того, как хакеры развернули вредоносное ПО в системе жертвы, они использовали бэкдор для совершения бокового перемещения и обнаружения сети с целью кражи конфиденциальной информации.
Цепочка атак Lazarus
ИБ-компания Mandiant — компания, специализирующаяся на информационной безопасности, цифровой криминалистике и реагированием на инциденты.»
data-html=»true» data-original-title=»Mandiant»
>Mandiant заявила, что кампания группы, вероятно, является продолжением кампании
Operation Dream Job , которая действует с июня 2020 года. В ходе кампании хакеры заманивали цели из известных оборонных и аэрокосмических компаний в США фальшивыми предложениями о работе.