Logotyp serwisu CyberDefence24
Reklama

Cyberbezpieczeństwo

Oszustwo „na rekrutera”. Korea Północna stale atakuje

Oskar Klimczuk

Oskar Klimczuk

Hakerzy z Korei Północnej nieustannie atakują
Hakerzy z Korei Północnej nieustannie atakują
Autor. Darwin Laganzon, Pixabay

Korea Północna to kraj, który z pozoru nie powinien stanowić żadnego zagrożenia w cyberprzestrzeni. Niestety, reżim Kim Dzong Una stale pokazuje, że potrafi dokonywać skomplikowanych ataków.

Za kampanię odpowiedzialna jest grupa Lazarus, która znana jest m.in. z ataków na Sony Pictures czy Bank Bangladeszu. Przypisuje się jej również WannaCry, jeden z największych cyberataków na świecie. Koreańczycy z północy wykorzystali fałszywe rekrutacje i podatności w Windowsie do infekowania urządzeń złośliwym oprogramowaniem.

Czytaj też

Reklama

Przebieg cyberataku

Pierwszym krokiem cyberprzestępców było prowadzenie fałszywych rekrutacji. Z potencjalnymi ofiarami kontaktowano się m.in. za pomocą LinkedIn i WhatsApp.

„Rekruterzy” wysyłali do określonych osób pliki ISO, które miały być jednym z zadań dla kandydatów. Cyberprzestępcy zapewne wiedzieli, że w Windowsach 10 i 11 do automatycznego zamontowania ISO wystarczą dwa kliknięcia.

Następnie ofiary cyberataku otwierały plik AmazonVNC.exe. W konsekwencji urządzenia pobierały złośliwy shellcode z serwera C2 (ang. Command-and-Control), co finalnie skutkowało uruchomieniem RAT (ang. Remote Access Trojan), czyli trojana dającego zdalny dostęp.

Proces ataku bardzo szczegółowo został opisany na blogu Avast.

Proces infekcji RAT
Proces infekcji RAT
Autor. Avast, https://decoded.avast.io/luiginocamastra/from-byovd-to-a-0-day-unveiling-advanced-exploits-in-cyber-recruiting-scams/
Reklama

Wykorzystane podatności i metody ataku

Lazarus podczas tego ataku wykorzystał lukę bezpieczeństwa w Windowsach (CVE-2024-21338, CVSS Score: 7.8), która pozwalała cyberprzestępcom na podniesienie swoich uprawnień do poziomu SYSTEM.

Niestety fałszywa rekrutacja jako sposób na pierwszy kontakt z potencjalną ofiarą ataku to nie jest nowy scenariusz. Na łamach naszego portalu informowaliśmy o oszustwie, które polegało na podszywaniu się pod menadżera HR z Comarchu.

Czytaj też

Reklama

Rekomendacje. Co robić?

Przede wszystkim nie należy uruchamiać nieznanych plików, które wydaje się nam podejrzane. Oczywiście, to co jest podejrzane nie jest jednoznaczne, lecz nigdy nie należy wchodzić w interakcje z niezaufanymi plikami wykonywalnymi czy obrazami ISO.

Należy również pamiętać o regularnych aktualizacjach, ponieważ to właśnie one łatają luki w oprogramowaniu.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama

Komentarze

    Reklama

    Czytaj także

    Sagi LockBit ciąg dalszy. NCA zapowiada ujawnienie nowych informacji
    Centralne Biuro Zwalczania Cyberprzestępczości zatrzymało 18 osób, które działały w zorganizowanej grupie przestępczej, podszywającej się pod bankowców.
    Spoofing. Fałszywi bankowcy zatrzymani
    ukraina wojna inwazja rosja
    Zbiórka na oprogramowanie dla wojska Ukrainy
    Cyberprzestępcy atakują seniorów
    Cyberprzestępcy nie próżnują. Seniorzy tracą coraz więcej
    Irańscy hakerzy stale atakują
    Irańscy hakerzy w nowej kampanii socjotechnicznej
    W ubiegłym roku zgłoszono do zablokowania 30 140 domen phishingowych - znacznie więcej niż w 2022.
    Skala oszustw ciągle rośnie. Zgłoszono ponad 30 tys. domen wyłudzających dane
    Sam Altman, współtwórca ChatGPT od OpenAI
    Sam Altman krytykuje ChatGPT. Model GPT-4 nazwał „najgłupszym”
    Indyjskie wybory w cieniu sztucznej inteligencji. Deepfake rośnie w siłę