Lazarus-Hacker zielen auf die Verteidigungsindustrie ab und bieten gefälschte Jobs bei Lockheed Martin an
Die berüchtigte nordkoreanische Cyberkriminellengruppe Lazarus ist an einer weiteren Phishing-Kampagne beteiligt, die auf die Verteidigungsindustrie abzielt. Die APT-Gruppe gibt sich als das in Bethesda, Maryland, ansässige Unternehmen Lockheed Martin aus, das sich auf Luft- und Raumfahrt sowie Militärtechnologie spezialisiert hat.
Die Cyberkriminellengruppe hat Arbeitssuchende mit gefälschten Stellenangeboten von Lockheed Martin ins Visier genommen. Die Kampagne wurde am 8. Februar von Akshat Pradhan, einem Qualys Senior Engineer of Threat Research, aufgedeckt .
Lazarus ist eine staatlich geförderte Hacking-Gruppe mit Verbindungen zu Nordkorea. Die Cyberkriminellen-Gruppe war in der Vergangenheit hinter einigen schweren Angriffen, darunter der WannaCry- Ransomware-Angriff, sowie der Überfall auf die Bangladesh Bank, bei dem mehr als 80 Millionen Dollar gestohlen wurden. Die Gruppe soll auch für Angriffe auf südkoreanische Frachtunternehmen und Lieferketten verantwortlich sein.
Bei dem aktuellen Angriff sendet Lazarus Phishing-E-Mails und -Dokumente an Arbeitssuchende und gibt vor, Lockheed Martin Beschäftigungsmöglichkeiten anzubieten. Die Arbeitssuchenden erhalten eine E-Mail mit angehängten Dokumenten mit dem Namen „Lockheed_Martin_JobOpportunities.docx“ oder
„Gehalt_Lockheed_Martin_job_opportunities_confidential.doc“.
Diese Dokumente enthalten bösartige Makros, und wenn sie angeklickt werden, können sie den Shellcode auslösen, der die Kontrolle über das Gerät übernimmt, und geplante Aufgaben für die Persistenz erstellen. Hacker missbrauchen auch Living Off the Land Binaries (LOLBins), um das Gerät des Ziels weiter zu kompromittieren. Beim Versuch einer weiteren Nutzlast ist dem Qualys-Team jedoch ein Fehler unterlaufen, sodass die Forscher sich nicht sicher sind, wie das Endergebnis aussehen könnte.
„Wir schreiben diese Kampagne Lazarus zu, da es erhebliche Überschneidungen bei den Makroinhalten, dem Kampagnenablauf und den Phishing-Themen unserer identifizierten Varianten sowie älterer Varianten gibt, die Lazarus von anderen Anbietern zugeschrieben wurden“, sagt Pradhan.
Dies ist nicht das erste Mal, dass Lazarus Arbeitssuchende angreift, da F-Secure auch Proben von Phishing-E-Mails als gefälschte Stellenangebote gefunden hat, die an eine Kryptowährungsorganisation gesendet wurden. Das Blueliv-Cybersicherheitsteam von Outpost24 hat Lazarus, FIN7 und Cobalt als die am weitesten verbreiteten Gruppen genannt, die auf Kryptowährungen und andere Finanzorganisationen abzielen.
Dies ist nicht das erste Mal, dass wir Cyberangriffe im Zusammenhang mit Stellenangeboten sehen. Zuvor gaben sich staatlich geförderte Hacker von Nordkorea als Personalvermittler von Samsung-Unternehmen aus und verschickten Phishing-E-Mails mit bösartigen Dokumenten an Arbeitssuchende.
Lazarus hat letzten Monat auch verschiedene Windows-Systeme kompromittiert, indem er infizierte Anhänge an die Opfer gesendet hat, durch die sie zu einem Windows/System32-Ordner geleitet wurden.
Laut ZDNet sagte ein Sprecher von Lockheed Martin: „Obwohl wir keine spezifischen Bedrohungen oder Reaktionen diskutieren, haben wir Richtlinien und Verfahren eingeführt, um die Cyber-Bedrohungen für unser Unternehmen zu mindern, und wir bleiben zuversichtlich in die Integrität unseres robusten Multi -schichtige Informationssysteme und Datensicherheit.“
Nach der Nachricht von dem Angriff hat das Unternehmen auf seiner Website auch eine Seite zu Einstellungsbetrug eingerichtet . Laut Lockheed Martin gehört zu einigen gängigen Betrugskennzeichen, dass Sie gebeten werden, Zahlungen für Reisekosten oder andere kleine Ausgaben zu leisten. Nachdem die Zahlung abgeschlossen ist, kontaktieren die Angreifer niemals das Opfer.