Los piratas informáticos de Lazarus apuntan a la industria de defensa que ofrece trabajos falsos de Lockheed Martin
El notorio grupo de ciberdelincuentes con sede en Corea del Norte, Lazarus, está involucrado en otra campaña de phishing dirigida a la industria de defensa. El grupo APT ha estado suplantando a la compañía con sede en Bethesda, Maryland, Lockheed Martin, especializada en aeronáutica, espacio y tecnología militar.
El grupo de ciberdelincuentes se ha estado dirigiendo a los solicitantes de empleo con ofertas de trabajo falsas de Lockheed Martin. La campaña fue descubierta por Akshat Pradhan, ingeniero sénior de investigación de amenazas de Qualys, el 8 de febrero.
Lazarus es un grupo de piratería patrocinado por el estado que tiene vínculos con Corea del Norte. El grupo de ciberdelincuentes ha estado detrás de algunos ataques serios en el pasado, incluido el ataque de ransomware WannaCry, así como el atraco al Banco de Bangladesh que robó más de $ 80 millones. También se cree que el grupo es responsable de los ataques contra las empresas de transporte y las cadenas de suministro de Corea del Sur.
En el ataque actual, Lazarus está enviando correos electrónicos y documentos de phishing a quienes buscan trabajo, pretendiendo ofrecer oportunidades de empleo a Lockheed Martin. A los solicitantes de empleo se les envía un correo electrónico que contiene documentos adjuntos, denominados "Lockheed_Martin_JobOpportunities.docx" o
"Salary_Lockheed_Martin_job_opportunities_confidential.doc".
Estos documentos contienen macros maliciosas y, cuando se hace clic en ellos, pueden activar el código shell que secuestra el control del dispositivo y crea tareas programadas para la persistencia. Los piratas informáticos también abusan de Living Off the Land Binaries (LOLBins) para comprometer aún más el dispositivo del objetivo. Sin embargo, mientras intentaba una carga útil adicional, el equipo de Qualys recibió un error, por lo que los investigadores no están seguros de cuál podría ser el resultado final.
“Atribuimos esta campaña a Lazarus ya que existe una superposición significativa en el contenido macro, el flujo de la campaña y los temas de phishing de nuestras variantes identificadas, así como variantes más antiguas que otros proveedores han atribuido a Lazarus", dice Pradhan.
Esta no es la primera vez que Lazarus ataca a personas que buscan trabajo, ya que F-Secure también encontró muestras de correos electrónicos de phishing como ofertas de trabajo falsas que se enviaron a una organización de criptomonedas. El equipo de ciberseguridad Blueliv de Outpost24 ha nombrado a Lazarus, FIN7 y Cobalt como los grupos más generalizados que se enfocan en las criptomonedas y otras organizaciones financieras.
No es la primera vez que vemos ciberataques relacionados con ofertas de trabajo. Anteriormente, los piratas informáticos patrocinados por el estado de Corea del Norte se hacían pasar por reclutadores de la empresa Samsung y enviaban correos electrónicos de phishing a los solicitantes de empleo con documentos maliciosos.
Lazarus también comprometió varios sistemas de Windows el mes pasado al enviar archivos adjuntos infectados a las víctimas a través de los cuales son dirigidos a una carpeta Windows/System32.
Según ZDNet, un portavoz de Lockheed Martin dijo: “Si bien no discutimos amenazas o respuestas específicas, contamos con políticas y procedimientos para mitigar las amenazas cibernéticas a nuestro negocio, y confiamos en la integridad de nuestro sólido y multi. -Sistemas de información en capas y seguridad de datos”.
Tras la noticia del ataque, la empresa también dedicó una página de fraude de contratación en su sitio web. Según Lockheed Martin, algunos identificadores de estafas comunes incluyen pedirle que pague los gastos de viaje u otros gastos pequeños. Una vez que se completa el pago, los actores de la amenaza nunca se ponen en contacto con la víctima.