Den ökända Nordkorea-baserade cyberkriminella gruppen, Lazarus, är involverad i en annan nätfiskekampanj riktad mot försvarsindustrin. APT – gruppen har imiterat det Bethesda, Maryland-baserade företaget, Lockheed Martin, som specialiserat sig på flyg-, rymd- och militärteknologi.
Gruppen för cyberbrottslingar har riktat in sig på arbetssökande med falska Lockheed Martin-jobberbjudanden. Kampanjen avslöjades av Akshat Pradhan, en Qualys Senior Engineer of Threat Research, den 8 februari.
Lazarus är en statligt sponsrad hackergrupp som har kopplingar till Nordkorea. Gruppen för cyberbrottslingar har legat bakom några allvarliga attacker tidigare, inklusive WannaCry ransomware-attacken, såväl som rånet från Bangladesh Bank som stjäl mer än 80 miljoner dollar. Gruppen tros också vara ansvarig för attacker mot sydkoreanska fraktföretag och leveranskedjor.
I den aktuella attacken skickar Lazarus nätfiske-e-post och dokument till arbetssökande och låtsas erbjuda Lockheed Martin anställningsmöjligheter. De arbetssökande får ett e-postmeddelande som innehåller bifogade dokument, med namnet "Lockheed_Martin_JobOpportunities.docx" eller
"Lön_Lockheed_Martin_job_opportunities_confidential.doc."
Dessa dokument innehåller skadliga makron, och när de klickas på kan de utlösa skalkoden som kapar kontrollen av enheten och skapa schemalagda uppgifter för beständighet. Hackare missbrukar också Living Off the Land Binaries (LOLBins) för att ytterligare äventyra målets enhet. Men när de försökte med ytterligare nyttolast, fick Qualys-teamet ett fel, så forskarna är inte säkra på vad slutresultatet kan bli.
"Vi tillskriver denna kampanj till Lazarus eftersom det finns en betydande överlappning i makroinnehållet, kampanjflödet och nätfiske-teman för våra identifierade varianter såväl som äldre varianter som har tillskrivits Lazarus av andra leverantörer", säger Pradhan.
Det är inte första gången Lazarus har attackerat arbetssökande eftersom F-Secure också har hittat prover på nätfiske-e-postmeddelanden som falska jobberbjudanden som skickats till en kryptovalutaorganisation. Outpost24:s Blueliv cybersäkerhetsteam har utsett Lazarus, FIN7 och Cobalt till de mest genomgripande grupperna som riktar in sig på kryptovaluta och andra finansiella organisationer.
Det är inte första gången vi har sett cyberattacker relaterade till jobberbjudanden. Tidigare har nordkoreanska statssponsrade hackare utgett sig för att rekrytera Samsung-företag och skickat nätfiske-e-postmeddelanden till arbetssökande med skadliga dokument.
Lazarus har även äventyrat olika Windows-system förra månaden genom att skicka infekterade bilagor till offer genom vilka de dirigeras till en Windows/System32-mapp.
Enligt ZDNet sa en talesperson för Lockheed Martin: "Även om vi inte diskuterar specifika hot eller reaktioner, har vi policyer och procedurer på plats för att mildra cyberhoten mot vår verksamhet, och vi förblir säkra på integriteten hos vår robusta, multi -Lagrade informationssystem och datasäkerhet."
Efter nyheten om attacken dedikerade företaget också en sida för rekryteringsbedrägerier på sin hemsida. Enligt Lockheed Martin inkluderar några vanliga bedrägeriidentifierare att man ber dig betala för resekostnader eller andra små utgifter. Efter att betalningen är klar kontaktar hotaktörerna aldrig offret.