Печально известная северокорейская организация, занимающаяся угрозами, Lazarus Group была замечена в проведении очень сложной целевой атаки вредоносного ПО, которая включает взлом популярного программного обеспечения с открытым исходным кодом и проведение целевых фишинговых кампаний.
В результате ему удалось скомпрометировать «многочисленные» организации в сфере СМИ, обороны и аэрокосмической отрасли, а также в сфере ИТ-услуг, говорится в отчете. (откроется в новой вкладке) от Microsoft заключил.
Компания утверждает, что Lazarus (или ZINC, как она называет группу) скомпрометировал PuTTY, среди других приложений с открытым исходным кодом, с помощью вредоносного кода, который устанавливает шпионское ПО. PuTTY — это бесплатный эмулятор терминала с открытым исходным кодом, последовательная консоль и приложение для передачи файлов по сети.
Установка ZetaNile
Но просто компрометация программного обеспечения с открытым исходным кодом не гарантирует доступ к конечным точкам целевой организации — людям все равно нужно загрузить и запустить программное обеспечение. Вот тут-то и появляется целевой фишинг. Участвуя в целенаправленной атаке социальной инженерии на LinkedIn, злоумышленники заставляют определенных лиц, работающих в целевых компаниях, загружать и запускать приложение. Судя по всему, члены группы выдают себя за рекрутеров в LinkedIn, предлагая людям выгодные возможности трудоустройства.
Приложение было специально разработано, чтобы избежать обнаружения. Только когда приложение подключается к определенному IP-адресу и входит в систему, используя специальный набор учетных данных для входа, приложение инициирует шпионское вредоносное ПО ZetaNile.
Помимо PuTTY, Lazarus удалось скомпрометировать KiTTY, TightVNC, Sumatra PDF Reader и muPDF/Subliminal Recording.
«С июня 2022 года злоумышленники успешно взломали множество организаций», — написали в своем посте члены групп Microsoft Security Threat Intelligence и LinkedIn Threat Prevention and Defense. «Из-за широкого использования платформ и программного обеспечения, которые ZINC использует в этой кампании, ZINC может представлять серьезную угрозу для отдельных лиц и организаций в различных секторах и регионах».
Lazarus не привыкать к фальшивым предложениям работы. В конце концов, группа делала то же самое для разработчиков криптовалют и художников, притворяясь рекрутерами для таких компаний, как Crypto.com или Coinbase.
