Lazaruse häkkerid sihivad kaitsetööstust, pakkudes võltsitud Lockheed Martini töökohti
Kurikuulus Põhja-Koreas asuv küberkurjategijate rühmitus Lazarus osaleb järjekordses andmepüügikampaanias, mis on suunatud kaitsetööstusele. APT grupp on kehastanud Marylandis asuvat Bethesda ettevõtet Lockheed Martin, mis on spetsialiseerunud lennundusele, kosmose- ja sõjatehnoloogiale.
Küberkurjategijate rühmitus on võtnud sihikule tööotsijad Lockheed Martini võltsitud tööpakkumistega. Kampaania paljastas 8. veebruaril Qualysi ohuuuringute vaneminsener Akshat Pradhan.
Lazarus on riiklikult toetatud häkkimisrühmitus, millel on sidemed Põhja-Koreaga. Küberkurjategijate rühmitus on varem olnud tõsiste rünnakute taga, sealhulgas WannaCry lunavararünnak, aga ka Bangladeshi panga vargus, mille käigus varastati rohkem kui 80 miljonit dollarit. Arvatakse, et rühmitus on vastutav ka Lõuna-Korea kaubaveoettevõtete ja tarneahelate vastu suunatud rünnakute eest.
Praeguse rünnaku käigus saadab Lazarus tööotsijatele andmepüügimeile ja dokumente, teeseldes, et pakub Lockheed Martinile töövõimalusi. Tööotsijatele saadetakse e-kiri, mis sisaldab lisatud dokumente nimega "Lockheed_Martin_JobOpportunities.docx" või
"Salary_Lockheed_Martin_job_opportunities_confidential.doc".
Need dokumendid sisaldavad pahatahtlikke makrosid ja neil klõpsamisel võivad need käivitada shellkoodi, mis kaaperdab seadme juhtimise ja loob ajastatud ülesandeid püsivuse tagamiseks. Häkkerid kuritarvitavad ka Living Off the Land Binaries (LOLBins), et sihtmärgi seadet veelgi kahjustada. Kuid Qualysi meeskond sai täiendavat koormust proovides viga, mistõttu teadlased pole kindlad, milline võiks olla lõpptulemus.
"Omistame selle kampaania Lazarusele, kuna meie tuvastatud variantide makrosisu, kampaaniavoog ja andmepüügiteemad kattuvad märkimisväärselt, aga ka vanemad variandid, mille teised müüjad on Lazarusele omistanud," ütleb Pradhan.
See pole esimene kord, kui Lazarus on rünnanud tööotsijaid, kuna F-Secure on leidnud ka näidiseid andmepüügimeilidest kui võltsitud tööpakkumistest, mis saadeti krüptovaluutaga tegelevale organisatsioonile. Outpost24 Bluelivi küberjulgeoleku meeskond on nimetanud Lazaruse, FIN7 ja Cobalti kõige levinumate krüptovaluutat ja muid finantsorganisatsioone sihitavateks rühmadeks.
See pole esimene kord, kui näeme tööpakkumistega seotud küberrünnakuid. Varem on Põhja-Korea riiklikult toetatud häkkerid esinenud Samsungi firmade värbajatena ja saatnud tööotsijatele pahatahtlike dokumentidega andmepüügimeile.
Lazarus on ka eelmisel kuul ohustanud erinevaid Windowsi süsteeme, saates ohvritele nakatunud manuseid, mille kaudu nad suunatakse Windows/System32 kausta.
ZDNeti sõnul ütles Lockheed Martini pressiesindaja: "Kuigi me ei aruta konkreetseid ohte ega vastuseid, on meil kehtestatud eeskirjad ja protseduurid meie äritegevuse küberohtude leevendamiseks ning oleme kindlad meie tugeva ja mitmekülgse ettevõtte terviklikkuses. -kihilised infosüsteemid ja andmeturve.
Pärast uudist rünnakust pühendas ettevõte oma veebisaidile ka värbamispettuste lehe . Lockheed Martini sõnul hõlmavad mõned levinumad kelmuse tunnused reisikulude või muude väikeste kulude eest tasumist. Pärast makse sooritamist ei võta ähvardused ohvriga enam ühendust.