Logotyp serwisu CyberDefence24
Reklama

Cyberbezpieczeństwo

Oszustwo „na rekrutera”. Korea Północna stale atakuje

Hakerzy z Korei Północnej nieustannie atakują
Hakerzy z Korei Północnej nieustannie atakują
Autor. Darwin Laganzon, Pixabay

Korea Północna to kraj, który z pozoru nie powinien stanowić żadnego zagrożenia w cyberprzestrzeni. Niestety, reżim Kim Dzong Una stale pokazuje, że potrafi dokonywać skomplikowanych ataków.

Za kampanię odpowiedzialna jest grupa Lazarus, która znana jest m.in. z ataków na Sony Pictures czy Bank Bangladeszu. Przypisuje się jej również WannaCry, jeden z największych cyberataków na świecie. Koreańczycy z północy wykorzystali fałszywe rekrutacje i podatności w Windowsie do infekowania urządzeń złośliwym oprogramowaniem.

Czytaj też

Reklama

Przebieg cyberataku

Pierwszym krokiem cyberprzestępców było prowadzenie fałszywych rekrutacji. Z potencjalnymi ofiarami kontaktowano się m.in. za pomocą LinkedIn i WhatsApp.

„Rekruterzy” wysyłali do określonych osób pliki ISO, które miały być jednym z zadań dla kandydatów. Cyberprzestępcy zapewne wiedzieli, że w Windowsach 10 i 11 do automatycznego zamontowania ISO wystarczą dwa kliknięcia.

Następnie ofiary cyberataku otwierały plik AmazonVNC.exe. W konsekwencji urządzenia pobierały złośliwy shellcode z serwera C2 (ang. Command-and-Control), co finalnie skutkowało uruchomieniem RAT (ang. Remote Access Trojan), czyli trojana dającego zdalny dostęp.

Proces ataku bardzo szczegółowo został opisany na blogu Avast.

Proces infekcji RAT
Proces infekcji RAT
Autor. Avast, https://decoded.avast.io/luiginocamastra/from-byovd-to-a-0-day-unveiling-advanced-exploits-in-cyber-recruiting-scams/
Reklama

Wykorzystane podatności i metody ataku

Lazarus podczas tego ataku wykorzystał lukę bezpieczeństwa w Windowsach (CVE-2024-21338, CVSS Score: 7.8), która pozwalała cyberprzestępcom na podniesienie swoich uprawnień do poziomu SYSTEM.

Niestety fałszywa rekrutacja jako sposób na pierwszy kontakt z potencjalną ofiarą ataku to nie jest nowy scenariusz. Na łamach naszego portalu informowaliśmy o oszustwie, które polegało na podszywaniu się pod menadżera HR z Comarchu.

Czytaj też

Reklama

Rekomendacje. Co robić?

Przede wszystkim nie należy uruchamiać nieznanych plików, które wydaje się nam podejrzane. Oczywiście, to co jest podejrzane nie jest jednoznaczne, lecz nigdy nie należy wchodzić w interakcje z niezaufanymi plikami wykonywalnymi czy obrazami ISO.

Należy również pamiętać o regularnych aktualizacjach, ponieważ to właśnie one łatają luki w oprogramowaniu.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama
Reklama

Komentarze

    Czytaj także

    Sąd wydał postanowienie ws. publikacji wizerunku Omeny Mensaah i Rafała Brzoski w serwisach Mety
    Przełomowa decyzja sądu ws. Mety. Kolejne zwycięstwo Rafała Brzoski
    Nie tylko telefony w szkołach. Londyn rozważa zakaz social mediów poniżej 16 lat
    Konferencja prasowa na temat konkursu "Szkoła Międzypokoleniowa"
    Rząd ogłasza nowy projekt "Szkoła Międzypokoleniowa". Połączy uczniów i seniorów
    Komisja Infrastruktury o Impulsach. Przewoźnicy nie znali wersji oprogramowania?
    DKWOC CSIRT MON wojsko polskie
    Wojsko porozumiało się z globalną marką. „Rozwijamy potencjał obronny”
    AGH Cyber Kampus 2.0
    Gigabajty cyber wiedzy – już 4 grudnia kolejna edycja AGH Cyber Kampusu!
    NASK bada bezpieczeństwo systemów AI
    Powstał Ośrodek Badań nad Bezpieczeństwem Sztucznej Inteligencji w NASK. Znamy nazwisko szefa
    Charków ukraina rosja wojna inwazja
    Rosja straszy Ukraińców. „Bądźcie czujni”