Злоумышленники используют открытое ПО в новой кампании по найму системных инженеров.
Microsoft заявляет , что северокорейская группировка Lazarus (ZINC) троянизирует законное ПО с открытым исходным кодом и использует его для создания бэкдоров в организациях из сферы технологий, обороны и медиа-развлечений.
Для развертывания бэкдора BLINDINGCAN (ZetaNile) Lazarus используют следующее открытое ПО:
- PuTTY (SSH/telnet/rlogin клиент);
- KiTTY (telnet/SSH клиент);
- TightVNC (программа для удаленного рабочего стола);
- Sumatra PDF Reader (программа для просмотра различных типов файлов);
- muPDF/Subliminal Recording (установщик ПО).
Эти троянизированные программы использовались в атаках с использованием социальной инженерии с конца апреля до середины сентября 2022 года. Зараженное ПО было нацелено в основном на инженеров и специалистов техподдержки, работающих в IT-компаниях и медиаорганизациях в Великобритании, Индии и США.
Согласно отчету Microsoft , злоумышленники создали «поддельные аккаунты, выдающие себя за рекрутеров из технологических, оборонных и медиакомпаний, с целью переманить цели из LinkedIn в мессенджер WhatsApp для доставки вредоносного ПО. Жертвы получили предложение работы с учетом их профессии или происхождения, и им было предложено подать заявку на вакансию в одной из нескольких законных компаний.
После того, как хакеры развернули вредоносное ПО в системе жертвы, они использовали бэкдор для совершения бокового перемещения и обнаружения сети с целью кражи конфиденциальной информации.
.png)
Цепочка атак Lazarus
ИБ-компания Mandiant заявила, что кампания группы, вероятно, является продолжением кампании Operation Dream Job , которая действует с июня 2020 года. В ходе кампании хакеры заманивали цели из известных оборонных и аэрокосмических компаний в США фальшивыми предложениями о работе.