Cyberbezpieczeństwo
Korea Północna znów atakuje. Tym razem oszuści podszywają się pod rekruterów Mety
Cyberprzestępcy z Korei Północnej znów atakują i tym razem podszywają się pod rekruterów koncernu Meta. Ofiary dostawały złośliwe oprogramowanie w zadaniu rekrutacyjnym.
O złośliwej kampanii cyberprzestępców z Korei Północnej ostrzega serwis CyberScoop . Podszywają się oni pod rekruterów - tym razem rzekomo szukających pracowników dla koncernu Meta Marka Zuckerberga. Ofiary oszustów dostały złośliwe oprogramowanie zawarte... w zadaniu rekrutacyjnym, które miało polegać na kodowaniu.
Nowa operacja szpiegowska
Kampania to w rzeczywistości nowa operacja szpiegowska Pjongjangu. Na celowniku działań cyberprzestępców znaleźli się przedstawiciele jednej z firm z sektora lotniczego w Hiszpanii. To właśnie oni dostali złośliwe załączniki, w których znajdowało się złośliwe oprogramowanie - w tym, nigdy wcześniej nie widziany backdoor.
O wykryciu nowej aktywności z Korei Północnej poinformowali specjaliści z firmy ds. cyberbezpieczeństwa ESET. Jak twierdzą, reprezentuje ona duże zaawansowanie złośliwych zdolności podmiotów, które za nią stoją.
Lazarus w natarciu
Za operacją stoi grupa Lazarus, pod której parasolem działa szereg mniejszych ugrupowań hakerskich. To właśnie ten megagang jest odpowiedzialny za kampanię szpiegowską, w której pojawiają się rzekomi rekruterzy koncernu Meta, działający z wykorzystaniem serwisu społecznościowego LinkedIn.
To LinkedIn służy im do nawiązywania kontaktu z potencjalnymi ofiarami, które następnie otrzymują zadania rekrutacyjne - dwa "wyzwania", w których zaszyte jest złośliwe oprogramowanie. Aktywność w ramach tej operacji została już spostrzeżona w ubiegłym roku - i to najnowszy przykład działań Pjongjangu wykorzystujących schemat oszustwa na poszukiwanie pracowników .
Co zawierały złośliwe zadania?
Według serwisu CyberScoop, złośliwe załączniki o nazwie Quiz1.exe i Quiz2.exe, w chwili uruchomienia pobierały i instalowały na komputerze ofiary trojana pozwalającego na zdalny dostęp i kontrolę urządzenia, którego ESET nazwał "LightlessCan".
Złośliwe oprogramowanie działa w sposób zbliżony do wielu komend systemu Windows, pozwala na dobre ukrycie aktywności hakerów oraz umożliwia im działanie w sposób zabezpieczający przed oczami specjalistów zajmujących się bezpieczeństwem atakowanej organizacji.
"LightlessCan" pozwala na obsługę 68 różnych komend, ale jedynie 43 są dostępne w wersji oprogramowania, które było wykorzystywane do opisywanych przez ESET ataków. Oznacza to, że cyberprzestępcy stojący za akcją mogą w przyszłości przygotowywać się do kolejnych, bardziej wymyślnych ataków.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:\*[email protected].\*