Reklama

Cyberbezpieczeństwo

Oszustwo „na rekrutera”. Korea Północna stale atakuje

Hakerzy z Korei Północnej nieustannie atakują
Hakerzy z Korei Północnej nieustannie atakują
Autor. Darwin Laganzon, Pixabay

Korea Północna to kraj, który z pozoru nie powinien stanowić żadnego zagrożenia w cyberprzestrzeni. Niestety, reżim Kim Dzong Una stale pokazuje, że potrafi dokonywać skomplikowanych ataków.

Za kampanię odpowiedzialna jest grupa Lazarus, która znana jest m.in. z ataków na Sony Pictures czy Bank Bangladeszu. Przypisuje się jej również WannaCry, jeden z największych cyberataków na świecie. Koreańczycy z północy wykorzystali fałszywe rekrutacje i podatności w Windowsie do infekowania urządzeń złośliwym oprogramowaniem.

Czytaj też

Reklama

Przebieg cyberataku

Pierwszym krokiem cyberprzestępców było prowadzenie fałszywych rekrutacji. Z potencjalnymi ofiarami kontaktowano się m.in. za pomocą LinkedIn i WhatsApp.

„Rekruterzy” wysyłali do określonych osób pliki ISO, które miały być jednym z zadań dla kandydatów. Cyberprzestępcy zapewne wiedzieli, że w Windowsach 10 i 11 do automatycznego zamontowania ISO wystarczą dwa kliknięcia.

Następnie ofiary cyberataku otwierały plik AmazonVNC.exe. W konsekwencji urządzenia pobierały złośliwy shellcode z serwera C2 (ang. Command-and-Control), co finalnie skutkowało uruchomieniem RAT (ang. Remote Access Trojan), czyli trojana dającego zdalny dostęp.

Proces ataku bardzo szczegółowo został opisany na blogu Avast.

Proces infekcji RAT
Proces infekcji RAT
Autor. Avast, https://decoded.avast.io/luiginocamastra/from-byovd-to-a-0-day-unveiling-advanced-exploits-in-cyber-recruiting-scams/
Reklama

Wykorzystane podatności i metody ataku

Lazarus podczas tego ataku wykorzystał lukę bezpieczeństwa w Windowsach (CVE-2024-21338, CVSS Score: 7.8), która pozwalała cyberprzestępcom na podniesienie swoich uprawnień do poziomu SYSTEM.

Niestety fałszywa rekrutacja jako sposób na pierwszy kontakt z potencjalną ofiarą ataku to nie jest nowy scenariusz. Na łamach naszego portalu informowaliśmy o oszustwie, które polegało na podszywaniu się pod menadżera HR z Comarchu.

Czytaj też

Reklama

Rekomendacje. Co robić?

Przede wszystkim nie należy uruchamiać nieznanych plików, które wydaje się nam podejrzane. Oczywiście, to co jest podejrzane nie jest jednoznaczne, lecz nigdy nie należy wchodzić w interakcje z niezaufanymi plikami wykonywalnymi czy obrazami ISO.

Należy również pamiętać o regularnych aktualizacjach, ponieważ to właśnie one łatają luki w oprogramowaniu.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama

Komentarze

    Reklama