Hackers da Lazarus atacam a indústria de defesa oferecendo empregos falsos na Lockheed Martin

O notório grupo cibercriminoso da Coreia do Norte, Lazarus, está envolvido em outra campanha de phishing visando a indústria de defesa. O grupo APT vem se passando pela empresa de Bethesda, Maryland, Lockheed Martin, especializada em aeronáutica, espaço e tecnologia militar.

O grupo de cibercriminosos tem como alvo candidatos a emprego com ofertas de emprego falsas da Lockheed Martin. A campanha foi descoberta por Akshat Pradhan, engenheiro sênior de pesquisa de ameaças da Qualys, em 8 de fevereiro.

Lazarus é um grupo de hackers patrocinado pelo Estado que tem ligações com a Coreia do Norte. O grupo de cibercriminosos esteve por trás de alguns ataques sérios no passado, incluindo o ataque de ransomware WannaCry, bem como o assalto ao Banco de Bangladesh, que roubou mais de US$ 80 milhões. Acredita-se também que o grupo seja responsável por ataques contra empresas de frete e cadeias de suprimentos sul-coreanas.

No ataque atual, o Lazarus está enviando e-mails e documentos de phishing para candidatos a emprego, fingindo oferecer oportunidades de emprego à Lockheed Martin. Os candidatos a emprego recebem um e-mail que contém documentos anexados, denominados “Lockheed_Martin_JobOpportunities.docx" ou
“Salary_Lockheed_Martin_job_opportunities_confidential.doc”. 

Esses documentos contêm macros maliciosas e, quando clicados, podem acionar o shellcode que sequestra o controle do dispositivo e cria tarefas agendadas para persistência. Os hackers também abusam dos Binários Living Off the Land (LOLBins) para comprometer ainda mais o dispositivo do alvo. No entanto, ao tentar mais carga útil, a equipe da Qualys obteve um erro, então os pesquisadores não têm certeza de qual poderia ser o resultado final.

“Atribuímos esta campanha ao Lazarus, pois há uma sobreposição significativa no conteúdo macro, fluxo de campanha e temas de phishing de nossas variantes identificadas, bem como variantes mais antigas que foram atribuídas ao Lazarus por outros fornecedores”, diz Pradhan.

Esta não é a primeira vez que o Lazarus atacou candidatos a emprego, pois a F-Secure também encontrou amostras de e-mails de phishing como ofertas de emprego falsas que foram enviadas para uma organização de criptomoedas. A equipe de segurança cibernética Blueliv da Outpost24 nomeou Lazarus, FIN7 e Cobalt como os grupos mais difundidos visando criptomoedas e outras organizações financeiras.

Esta não é a primeira vez que vemos ataques cibernéticos relacionados a ofertas de emprego. Anteriormente, hackers patrocinados pelo Estado norte-coreano se passavam por recrutadores da empresa Samsung e enviavam e-mails de phishing para candidatos a emprego com documentos maliciosos.

O Lazarus também comprometeu vários sistemas Windows no mês passado, enviando anexos infectados para as vítimas, através dos quais elas são direcionadas para uma pasta Windows/System32.

De acordo com o ZDNet, um porta-voz da Lockheed Martin disse: “Embora não discutamos ameaças ou respostas específicas, temos políticas e procedimentos para mitigar as ameaças cibernéticas aos nossos negócios e continuamos confiantes na integridade de nossos sistemas de informação em camadas e segurança de dados.”

Após a notícia do ataque, a empresa também dedicou uma página de fraude de recrutamento em seu site. De acordo com a Lockheed Martin, alguns identificadores de golpes comuns incluem pedir que você faça pagamentos para despesas de viagem ou outras pequenas despesas. Após a conclusão do pagamento, os agentes da ameaça nunca entram em contato com a vítima.