Korea Północna znów atakuje. Tym razem oszuści podszywają się pod rekruterów Mety

O złośliwej kampanii cyberprzestępców z Korei Północnej ostrzega serwis CyberScoop . Podszywają się oni pod rekruterów - tym razem rzekomo szukających pracowników dla koncernu Meta Marka Zuckerberga. Ofiary oszustów dostały złośliwe oprogramowanie zawarte... w zadaniu rekrutacyjnym, które miało polegać na kodowaniu.

Nowa operacja szpiegowska

Kampania to w rzeczywistości nowa operacja szpiegowska Pjongjangu. Na celowniku działań cyberprzestępców znaleźli się przedstawiciele jednej z firm z sektora lotniczego w Hiszpanii. To właśnie oni dostali złośliwe załączniki, w których znajdowało się złośliwe oprogramowanie - w tym, nigdy wcześniej nie widziany backdoor.

O wykryciu nowej aktywności z Korei Północnej poinformowali specjaliści z firmy ds. cyberbezpieczeństwa ESET. Jak twierdzą, reprezentuje ona duże zaawansowanie złośliwych zdolności podmiotów, które za nią stoją.

Lazarus w natarciu

Za operacją stoi grupa Lazarus, pod której parasolem działa szereg mniejszych ugrupowań hakerskich. To właśnie ten megagang jest odpowiedzialny za kampanię szpiegowską, w której pojawiają się rzekomi rekruterzy koncernu Meta, działający z wykorzystaniem serwisu społecznościowego LinkedIn.

To LinkedIn służy im do nawiązywania kontaktu z potencjalnymi ofiarami, które następnie otrzymują zadania rekrutacyjne - dwa "wyzwania", w których zaszyte jest złośliwe oprogramowanie. Aktywność w ramach tej operacji została już spostrzeżona w ubiegłym roku - i to najnowszy przykład działań Pjongjangu wykorzystujących schemat oszustwa na poszukiwanie pracowników .

Wcześniej już na łamach naszego serwisu pisaliśmy o podobnych działaniach hakerów z Korei Północnej, którzy podszywali sie m.in. pod dziennikarzy .

Co zawierały złośliwe zadania?

Według serwisu CyberScoop, złośliwe załączniki o nazwie Quiz1.exe i Quiz2.exe, w chwili uruchomienia pobierały i instalowały na komputerze ofiary trojana pozwalającego na zdalny dostęp i kontrolę urządzenia, którego ESET nazwał "LightlessCan".

Złośliwe oprogramowanie działa w sposób zbliżony do wielu komend systemu Windows, pozwala na dobre ukrycie aktywności hakerów oraz umożliwia im działanie w sposób zabezpieczający przed oczami specjalistów zajmujących się bezpieczeństwem atakowanej organizacji.

"LightlessCan" pozwala na obsługę 68 różnych komend, ale jedynie 43 są dostępne w wersji oprogramowania, które było wykorzystywane do opisywanych przez ESET ataków. Oznacza to, że cyberprzestępcy stojący za akcją mogą w przyszłości przygotowywać się do kolejnych, bardziej wymyślnych ataków.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:\*[email protected].\*