عامل تهدید بدنام کره شمالی، گروه لازاروس، مشاهده شده است که درگیر یک حمله بدافزار هدفمند بسیار پیچیده است که شامل به خطر انداختن نرم افزار منبع باز محبوب و اجرای کمپین های فیشینگ هدفمند است.
گزارش مایکروسافت به این نتیجه رسید که در نتیجه، سازمانهای «تعدادی» را در رسانهها، صنایع دفاعی و هوافضا، و همچنین در صنایع خدمات فناوری اطلاعات به خطر انداخت (در یک برگه جدید باز میشود).
این شرکت ادعا میکند که Lazarus (یا ZINC، همانطور که این گروه را مینامد) Putty را در میان سایر برنامههای منبع باز، با کد مخربی که نرمافزارهای جاسوسی را نصب میکند، به خطر انداخته است. Putty یک شبیه ساز ترمینال رایگان و منبع باز، کنسول سریال و برنامه انتقال فایل شبکه است.
نصب زتا نیل
اما به خطر انداختن ساده نرم افزار منبع باز دسترسی به نقاط پایانی سازمان هدف را تضمین نمی کند: مردم هنوز باید نرم افزار را دانلود و اجرا کنند. اینجاست که هارپون وارد می شود. با راه اندازی یک حمله مهندسی اجتماعی بسیار هدفمند به لینکدین، عوامل تهدید افراد خاصی را که در شرکت های هدف کار می کنند مجبور می کنند برنامه را دانلود و اجرا کنند. به نظر میرسد اعضای گروه هویت استخدامکنندگان را در لینکدین فرض میکنند و فرصتهای شغلی پرسود را به افراد ارائه میدهند.
این برنامه به طور ویژه برای جلوگیری از شناسایی طراحی شده است. تنها زمانی که برنامه به یک آدرس IP خاص متصل میشود و با مجموعهای از اعتبارنامههای ورود به سیستم وارد میشود، برنامه بدافزار جاسوسافزار ZetaNile را راهاندازی میکند.
علاوه بر بتونه، لازاروس موفق شد KiTTY، TightVNC، Sumatra PDF Reader و muPDF/Subliminal Recording را نیز به خطر بیاندازد.
اعضای تیمهای اطلاعات تهدید امنیتی مایکروسافت و پیشگیری و دفاع از تهدیدات لینکدین در پستی نوشتند: «بازیگران از ژوئن 2022 با موفقیت سازمانهای متعددی را به خطر انداختهاند. با توجه به استفاده گسترده از پلتفرم ها و نرم افزارهایی که ZINC در این کمپین استفاده می کند، ZINC می تواند تهدیدی جدی برای افراد و سازمان ها در صنایع و مناطق مختلف باشد.
لازاروس با پیشنهادهای شغلی جعلی غریبه نیست. به هر حال، این گروه همین کار را با توسعه دهندگان و هنرمندان ارزهای دیجیتال انجام داده است و به عنوان استخدام کنندگان برای Crypto.com یا Coinbase ظاهر شده است.
