VPN та конфіденційністьВитокуЗахист даних

Хакери Lazarus націлені на оборонну промисловість, пропонуючи підроблені вакансії Lockheed Martin

Останнє оновлення Бер 28, 2023

Сумнозвісна північнокорейська кіберзлочинна група Lazarus залучена до іншої фішингової кампанії, спрямованої на оборонну промисловість. Група APT видає себе за компанію Lockheed Martin з Бетесда, штат Меріленд, яка спеціалізується на аеронавтиці, космічній та військовій техніці.

Група кіберзлочинців націлює на шукачів роботу підроблені пропозиції роботи Lockheed Martin. Кампанія була розкрита Акшатом Прадханом, старшим інженером з дослідження загроз Qualys, 8 лютого.

Lazarus – це хакерська група, що фінансується державою, яка має зв'язки з Північною Кореєю. Угрупування кіберзлочинців стояло за деякими серйозними атаками в минулому, включаючи атаку з програмним забезпеченням-вимагачем WannaCry , а також крадіжку банку Бангладеш, яка вкрала понад 80 мільйонів доларів. Вважається, що група також відповідальна за напади на південнокорейські транспортні компанії та ланцюги поставок.

Під час поточної атаки Lazarus надсилає фішингові електронні листи та документи шукачам роботи, прикидаючись, що пропонує Lockheed Martin можливості працевлаштування. Особам, які шукають роботу, надсилається електронний лист із вкладеними документами під назвою «Lockheed_Martin_JobOpportunities.docx» або
«Salary_Lockheed_Martin_job_opportunities_confidential.doc».

Ці документи містять шкідливі макроси, і, натиснувши на них, вони можуть викликати шелл-код, який перехоплює контроль над пристроєм і створює заплановані завдання для збереження. Хакери також зловживають Living Off the Land Binaries (LOLBins), щоб ще більше скомпрометувати пристрій цілі. Однак під час спроби подальшого корисного навантаження команда Qualys отримала помилку, тому дослідники не впевнені, яким може бути кінцевий результат.

«Ми пов’язуємо цю кампанію з Lazarus, оскільки макроконтент, потік кампанії та фішингові теми наших ідентифікованих варіантів, а також старіших варіантів, які були приписані Lazarus іншими постачальниками, суттєво збігаються», – каже Прадхан.

Це не перший випадок, коли Lazarus атакує шукачів роботи, оскільки F-Secure також знайшов зразки фішингових листів як фальшивих пропозицій роботи, які були надіслані криптовалютній організації. Команда з кібербезпеки Outpost24 назвала Lazarus, FIN7 і Cobalt найбільш поширеними групами, націленими на криптовалюту та інші фінансові організації.

Це не перший раз, коли ми бачимо кібератаки, пов’язані з пропозиціями роботи. Раніше хакери, спонсоровані державою Північної Кореї, видавали себе за вербувальників компанії Samsung і надсилали фішингові листи шукачам роботи зі шкідливими документами.

Минулого місяця Lazarus також скомпрометував різні системи Windows, надсилаючи заражені вкладення жертвам, через які вони спрямовуються до папки Windows/System32.

За словами ZDNet, представник Lockheed Martin сказав: «Хоча ми не обговорюємо конкретні загрози чи відповіді, у нас є політики та процедури для пом’якшення кіберзагроз для нашого бізнесу, і ми залишаємось впевненими в цілісності нашої надійної, багатофункціональної -шарові інформаційні системи та безпека даних».

Після новини про атаку компанія також виділила на своєму веб-сайті сторінку про шахрайство з вербуванням . Згідно з Lockheed Martin, деякі поширені ідентифікатори шахрайства включають прохання сплатити витрати на відрядження або інші невеликі витрати. Після завершення оплати суб’єкти загроз ніколи не зв’язуються з жертвою.