Хакеры Lazarus нацелены на оборонную промышленность, предлагая поддельные рабочие места Lockheed Martin
Печально известная базирующаяся в Северной Корее группа киберпреступников Lazarus участвует в очередной фишинговой кампании, нацеленной на оборонную промышленность. Группа APT выдавала себя за компанию Lockheed Martin из Бетесды, штат Мэриленд, специализирующуюся на аэронавтике, космосе и военных технологиях.
Группа киберпреступников нацелилась на соискателей с поддельными предложениями о работе в Lockheed Martin. Кампания была раскрыта Акшатом Прадханом, старшим инженером Qualys по исследованию угроз, 8 февраля.
Lazarus — спонсируемая государством хакерская группа, имеющая связи с Северной Кореей. Группа киберпреступников в прошлом стояла за несколькими серьезными атаками, в том числе атакой программы- вымогателя WannaCry, а также ограблением банка Бангладеш, похитившим более 80 миллионов долларов. Группа также считается ответственной за атаки на южнокорейские грузовые компании и цепочки поставок.
В ходе текущей атаки Lazarus рассылает фишинговые электронные письма и документы соискателям, делая вид, что предлагает возможности трудоустройства в Lockheed Martin. Соискателям работы отправляется электронное письмо с вложенными документами под названием «Lockheed_Martin_JobOpportunities.docx» или
«Salary_Lockheed_Martin_job_opportunities_confidential.doc».
Эти документы содержат вредоносные макросы, и при нажатии на них может запускаться шелл-код, который перехватывает управление устройством и создает запланированные задачи для сохранения. Хакеры также злоупотребляют бинарными файлами Living Off the Land (LOLBins) для дальнейшей компрометации устройства цели. Однако при попытке дальнейшей загрузки команда Qualys получила ошибку, поэтому исследователи не уверены, каким может быть конечный результат.
«Мы приписываем эту кампанию Lazarus, поскольку в макросодержимом, ходе кампании и фишинговых темах выявленных нами вариантов, а также в более старых вариантах, которые другие поставщики приписывают Lazarus, есть значительное совпадение», — говорит Прадхан.
Это не первый раз, когда Lazarus атакует соискателей работы, так как F-Secure также нашла образцы фишинговых писем как поддельные предложения о работе, которые были отправлены криптовалютной организации. Команда кибербезопасности Outpost24 Blueliv назвала Lazarus, FIN7 и Cobalt наиболее распространенными группами, нацеленными на криптовалюту и другие финансовые организации.
Это не первый раз, когда мы наблюдаем кибератаки, связанные с предложениями о работе. Ранее спонсируемые северокорейским государством хакеры выдавали себя за вербовщиков компании Samsung и рассылали соискателям фишинговые электронные письма с вредоносными документами.
В прошлом месяце Lazarus также скомпрометировал различные системы Windows, отправив зараженные вложения жертвам, через которые они были перенаправлены в папку Windows/System32.
Согласно ZDNet, представитель Lockheed Martin сказал: «Хотя мы не обсуждаем конкретные угрозы или меры реагирования, у нас есть политики и процедуры для смягчения киберугроз для нашего бизнеса, и мы по-прежнему уверены в целостности нашей надежной, многопрофильной многоуровневые информационные системы и безопасность данных».
После известия о нападении компания также посвятила на своем веб-сайте страницу о мошенничестве при наборе персонала . Согласно Lockheed Martin, некоторые распространенные мошеннические идентификаторы включают в себя просьбу оплатить дорожные расходы или другие небольшие расходы. После завершения платежа злоумышленники никогда не связываются с жертвой.