Lazarus Hackers -puolustusteollisuus tarjoaa väärennettyjä Lockheed Martin -töitä
Pahamaineinen pohjoiskorealainen kyberrikollisryhmä Lazarus on mukana toisessa puolustusteollisuudelle suunnatussa tietojenkalastelukampanjassa . APT – ryhmä on esiintynyt Marylandissa sijaitsevana Bethesda-yhtiönä Lockheed Martinina, joka on erikoistunut ilmailu-, avaruus- ja sotilasteknologiaan.
Kyberrikollisten ryhmä on kohdistanut työnhakijoihin väärennettyjä Lockheed Martin -työtarjouksia. Kampanjan paljasti Akshat Pradhan, Qualysin uhkatutkimuksen vanhempi insinööri, 8. helmikuuta.
Lazarus on valtion tukema hakkerointiryhmä, jolla on siteitä Pohjois-Koreaan. Kyberrikollisten ryhmä on ollut aiemmin joidenkin vakavien hyökkäysten takana, mukaan lukien WannaCry-lunnasohjelmahyökkäys sekä Bangladesh Bankin ryöstö, jossa varastettiin yli 80 miljoonaa dollaria. Ryhmän uskotaan myös olevan vastuussa hyökkäyksistä eteläkorealaisia rahtiyrityksiä ja toimitusketjuja vastaan.
Nykyisessä hyökkäyksessä Lazarus lähettää tietojenkalasteluviestejä ja asiakirjoja työnhakijoille teeskennellen tarjoavansa Lockheed Martinille työpaikkoja. Työnhakijoille lähetetään sähköposti, joka sisältää liitteenä olevat asiakirjat, nimeltään "Lockheed_Martin_JobOpportunities.docx" tai
"Salary_Lockheed_Martin_job_opportunities_confidential.doc".
Nämä asiakirjat sisältävät haitallisia makroja, ja kun niitä napsautetaan, ne voivat laukaista kuorikoodin, joka kaappaa laitteen hallinnan ja luoda ajoitettuja tehtäviä pysyvyyttä varten. Hakkerit myös väärinkäyttävät Living Off the Land Binaries (LOLBins) -palvelua vaarantaakseen kohteen laitteen entisestään. Yrittäessään lisähyötykuormaa Qualys-tiimi sai kuitenkin virheen, joten tutkijat eivät ole varmoja, mikä lopputulos voisi olla.
"Tunnistamme tämän kampanjan Lazarukselle, koska tunnistettujen muunnelmiemme makrosisällössä, kampanjan kulussa ja tietojenkalasteluteemoissa on merkittäviä päällekkäisyyksiä sekä vanhempia muunnelmia, jotka muut toimittajat ovat pitäneet Lazaruksen ansioksi", Pradhan sanoo.
Tämä ei ole ensimmäinen kerta, kun Lazarus hyökkää työnhakijoiden kimppuun, sillä F-Secure on myös löytänyt näytteitä phishing-sähköposteista väärennetyinä työtarjouksina, jotka lähetettiin kryptovaluuttaorganisaatiolle. Outpost24:n Blueliv-kyberturvatiimi on nimennyt Lazaruksen, FIN7 :n ja Cobaltin leviävimmiksi kryptovaluuttoihin ja muihin rahoitusorganisaatioihin kohdistuviksi ryhmiksi.
Tämä ei ole ensimmäinen kerta, kun näemme työtarjouksiin liittyviä kyberhyökkäyksiä. Aiemmin Pohjois-Korean valtion tukemat hakkerit ovat esiintyneet Samsungin yrityksen rekrytoijana ja lähettäneet tietojenkalasteluviestejä työnhakijoille haitallisilla asiakirjoilla.
Lazarus on myös murtautunut useisiin Windows-järjestelmiin viime kuussa lähettämällä tartunnan saaneita liitteitä uhreille, joiden kautta heidät ohjataan Windows/System32-kansioon.
ZDNetin mukaan Lockheed Martinin tiedottaja sanoi: "Vaikka emme keskustele erityisistä uhista tai vastatoimista, meillä on käytäntöjä ja menettelyjä yritykseemme kohdistuvien kyberuhkien lieventämiseksi, ja olemme edelleen luottavaisia vankan, monitoimikoneemme eheyteen. -kerroksiset tietojärjestelmät ja tietoturva."
Hyökkäyksen jälkeen yritys avasi verkkosivuillaan myös rekrytointihuijaussivun . Lockheed Martinin mukaan joitakin yleisiä huijaustunnisteita ovat matkakulujen tai muiden pienten kulujen maksujen pyytäminen. Kun maksu on suoritettu, uhkatekijät eivät koskaan ota yhteyttä uhriin.