Hakerzy z Lazarusa atakują przemysł obronny, który oferuje fałszywe zlecenia Lockheed Martin
Znana z Korei Północnej grupa cyberprzestępcza Lazarus jest zamieszana w kolejną kampanię phishingową wymierzoną w przemysł obronny. Grupa APT podszywa się pod firmę Lockheed Martin z Bethesda w stanie Maryland, specjalizującą się w lotnictwie, kosmosie i technologii wojskowej.
Grupa cyberprzestępców atakuje osoby poszukujące pracy za pomocą fałszywych ofert pracy Lockheed Martin. Kampania została ujawniona przez Akshat Pradhan, starszego inżyniera ds. badań zagrożeń w Qualys, 8 lutego.
Lazarus to sponsorowana przez państwo grupa hakerska, która ma powiązania z Koreą Północną. Grupa cyberprzestępców stała w przeszłości za kilkoma poważnymi atakami, w tym atakiem ransomware WannaCry, a także napadem na Bangladesh Bank, w którym ukradł ponad 80 milionów dolarów. Uważa się również, że grupa jest odpowiedzialna za ataki na południowokoreańskie firmy transportowe i łańcuchy dostaw.
W obecnym ataku Lazarus wysyła e-maile i dokumenty phishingowe do osób poszukujących pracy, udając, że oferuje możliwości zatrudnienia dla Lockheed Martin. Osoby poszukujące pracy otrzymują wiadomość e-mail zawierającą załączone dokumenty o nazwie „Lockheed_Martin_JobOpportunities.docx" lub
„Salary_Lockheed_Martin_job_opportunities_confidential.doc”.
Dokumenty te zawierają złośliwe makra, a po kliknięciu mogą wywołać szelkod, który przejmuje kontrolę nad urządzeniem i tworzy zaplanowane zadania w celu utrwalenia. Hakerzy wykorzystują również pliki binarne Living Off the Land Binaries (LOLBins), aby dalej narażać urządzenie celu. Jednak podczas próby dalszego ładunku zespół Qualys popełnił błąd, więc naukowcy nie są pewni, jaki może być wynik końcowy.
„Przypisujemy tę kampanię Lazarusowi, ponieważ treści makr, przebieg kampanii i motywy phishingu w naszych zidentyfikowanych wariantach znacznie się pokrywają, a także starsze warianty, które zostały przypisane Lazarusowi przez innych dostawców”, mówi Pradhan.
To nie pierwszy raz, kiedy Lazarus zaatakował osoby poszukujące pracy, ponieważ firma F-Secure znalazła również próbki wiadomości phishingowych jako fałszywe oferty pracy, które zostały wysłane do organizacji zajmującej się kryptowalutami. Zespół ds. cyberbezpieczeństwa Blueliv z Outpost24 nazwał Lazarus, FIN7 i Cobalt jako najbardziej rozpowszechnione grupy atakujące kryptowaluty i inne organizacje finansowe.
To nie pierwszy raz, kiedy obserwujemy cyberataki związane z ofertami pracy. Wcześniej hakerzy sponsorowani przez państwo z Korei Północnej podszywali się pod osoby rekrutujące firmy Samsung i wysyłali do osób poszukujących pracy wiadomości phishingowe ze złośliwymi dokumentami.
W zeszłym miesiącu Lazarus skompromitował również różne systemy Windows, wysyłając ofiarom zainfekowane załączniki, przez które są one kierowane do folderu Windows/System32.
Według ZDNet, rzecznik Lockheed Martin powiedział: „Chociaż nie omawiamy konkretnych zagrożeń ani reakcji, mamy zasady i procedury mające na celu łagodzenie cyberzagrożeń dla naszej firmy i pozostajemy pewni uczciwości naszej solidnej, wielostronnej wielowarstwowe systemy informacyjne i bezpieczeństwo danych.”
Po wiadomości o ataku firma zamieściła również na swojej stronie internetowej stronę oszustwa rekrutacyjnego . Według Lockheed Martin niektóre popularne identyfikatory oszustw obejmują proszenie o dokonanie płatności za koszty podróży lub inne drobne wydatki. Po dokonaniu płatności cyberprzestępcy nigdy nie kontaktują się z ofiarą.