Gli hacker di Lazarus prendono di mira l’industria della difesa offrendo falsi lavori di Lockheed Martin
Il famigerato gruppo di criminali informatici con sede in Corea del Nord, Lazarus, è coinvolto in un'altra campagna di phishing che prende di mira l'industria della difesa. Il gruppo APT ha impersonato la Lockheed Martin, azienda con sede a Bethesda, nel Maryland, specializzata in aeronautica, spazio e tecnologia militare.
Il gruppo di criminali informatici ha preso di mira le persone in cerca di lavoro con false offerte di lavoro della Lockheed Martin. La campagna è stata scoperta da Akshat Pradhan, un Qualys Senior Engineer of Threat Research, l'8 febbraio.
Lazarus è un gruppo di hacker sponsorizzato dallo stato che ha legami con la Corea del Nord. Il gruppo di criminali informatici è stato dietro alcuni gravi attacchi in passato, tra cui l' attacco ransomware WannaCry, così come la rapina alla Banca del Bangladesh che ha rubato più di 80 milioni di dollari. Si ritiene che il gruppo sia anche responsabile degli attacchi contro le compagnie di trasporto merci e le catene di approvvigionamento sudcoreane.
Nell'attuale attacco, Lazarus sta inviando e-mail e documenti di phishing a persone in cerca di lavoro, fingendo di offrire opportunità di lavoro alla Lockheed Martin. Le persone in cerca di lavoro ricevono un'e-mail che contiene documenti allegati, denominata "Lockheed_Martin_JobOpportunities.docx" o
"Salary_Lockheed_Martin_job_opportunities_confidential.doc".
Questi documenti contengono macro dannose e, quando vengono cliccati, possono attivare lo shellcode che dirotta il controllo del dispositivo e creare attività pianificate per la persistenza. Gli hacker abusano anche di Living Off the Land Binaries (LOLBins) per compromettere ulteriormente il dispositivo del bersaglio. Tuttavia, durante il tentativo di ulteriore carico utile, il team di Qualys ha ricevuto un errore, quindi i ricercatori non sono sicuri di quale potrebbe essere il risultato finale.
"Attribuiamo questa campagna a Lazarus in quanto vi è una significativa sovrapposizione nel contenuto della macro, nel flusso della campagna e nei temi di phishing delle nostre varianti identificate, nonché delle varianti precedenti che sono state attribuite a Lazarus da altri fornitori", afferma Pradhan.
Questa non è la prima volta che Lazarus attacca le persone in cerca di lavoro poiché F-Secure ha anche trovato campioni di e-mail di phishing come false offerte di lavoro inviate a un'organizzazione di criptovalute. Il team di sicurezza informatica Blueliv di Outpost24 ha nominato Lazarus, FIN7 e Cobalt come i gruppi più pervasivi che prendono di mira la criptovaluta e altre organizzazioni finanziarie.
Non è la prima volta che assistiamo ad attacchi informatici legati a offerte di lavoro. In precedenza, gli hacker sponsorizzati dallo stato nordcoreano si sono spacciati per reclutatori di aziende Samsung e hanno inviato e-mail di phishing a persone in cerca di lavoro con documenti dannosi.
Lazarus ha anche compromesso vari sistemi Windows il mese scorso inviando allegati infetti alle vittime attraverso i quali vengono indirizzati a una cartella Windows/System32.
Secondo ZDNet, un portavoce di Lockheed Martin ha affermato: "Anche se non discutiamo di minacce o risposte specifiche, abbiamo politiche e procedure in atto per mitigare le minacce informatiche alla nostra attività e rimaniamo fiduciosi nell'integrità del nostro solido, multi sistemi informativi a più livelli e sicurezza dei dati".
Dopo la notizia dell'attacco, l'azienda ha anche dedicato una pagina di frode sul reclutamento sul proprio sito web. Secondo Lockheed Martin, alcuni comuni identificatori di truffa includono la richiesta di effettuare pagamenti per spese di viaggio o altre piccole spese. Dopo che il pagamento è stato completato, gli attori della minaccia non contattano mai la vittima.