Злоумышленники используют открытое ПО в новой кампании по найму системных инженеров.
https://www.securitylab.ru/upload/ib...h4t5al5xky.jpg
Microsoft заявляет , что северокорейская группировка Lazarus (ZINC) троянизирует законное ПО с открытым исходным кодом и использует его для создания бэкдоров в организациях из сферы технологий, обороны и медиа-развлечений.
Для развертывания бэкдора BLINDINGCAN (ZetaNile) Lazarus используют следующее открытое ПО:<ul><li>PuTTY (SSH/telnet/rlogin клиент);</li>
</ul><ul><li>KiTTY (telnet/SSH клиент);</li>
</ul><ul><li>TightVNC (программа для удаленного рабочего стола);</li>
</ul><ul><li>Sumatra PDF Reader (программа для просмотра различных типов файлов);</li>
</ul><ul><li>muPDF/Subliminal Recording (установщик ПО).</li>
</ul>Эти троянизированные программы использовались в атаках с использованием социальной инженерии с конца апреля до середины сентября 2022 года. Зараженное ПО было нацелено в основном на инженеров и специалистов техподдержки, работающих в IT-компаниях и медиаорганизациях в Великобритании, Индии и США.
Согласно отчету Microsoft , злоумышленники создали «поддельные аккаунты, выдающие себя за рекрутеров из технологических, оборонных и медиакомпаний, с целью переманить цели из LinkedIn в мессенджер WhatsApp для доставки вредоносного ПО. Жертвы получили предложение работы с учетом их профессии или происхождения, и им было предложено подать заявку на вакансию в одной из нескольких законных компаний.
После того, как хакеры развернули вредоносное ПО в системе жертвы, они использовали бэкдор для совершения бокового перемещения и обнаружения сети с целью кражи конфиденциальной информации.
https://www.securitylab.ru/upload/im...t-img(531).png
Цепочка атак Lazarus
ИБ-компания Mandiant заявила, что кампания группы, вероятно, является продолжением кампании Operation Dream Job , которая действует с июня 2020 года. В ходе кампании хакеры заманивали цели из известных оборонных и аэрокосмических компаний в США фальшивыми предложениями о работе.