Cyberbezpieczeństwo
Uwaga na fałszywe oferty pracy na LinkedIn. To atak przy pomocy złośliwego oprogramowania
Autor. Souvik Banerjee/ Unsplash/ Domena publiczna
Żaden serwis społecznościowy nie jest wolny od prób oszustw, jakie podejmują cyberprzestępcy wieloma metodami. Nie oszczędzają też LinkedIn, za pośrednictwem którego wysyłają fałszywe oferty pracy do badaczy bezpieczeństwa i organizacji medialnych w Europie oraz USA.
Fałszywe oferty pracy na LinedIn to niestety nie nowość, choć serwis podejmował już działania , by z nimi walczyć. W ten sposób oszuści wyłudzali choćby dane osobowe od rzekomych kandydatów, często podszywając się pod określone firmy, najpierw zdobywając zaufanie swojej ofiary.
Tym razem podobne metody ma stosować północnokoreańska grupa hakerska, która atakuje przy pomocy złośliwego oprogramowania za pośrednictwem ofert pracy na tej platformie. Na celowniku hakerów mieli znaleźć się badacze bezpieczeństwa, ale też organizacje medialne z Europy czy USA – podaje serwis Bleeping Computer .
Fałszywe oferty pracy mają służyć hakerom do rozpowszechniania złośliwego oprogramowania. Operacja była początkowo łączona z grupą Lazarus.
Jednak zauważono kilka różnic, które sprawiły, że za kampanią ma prawdopodobnie stać inna grupa - UNC2970, co stwierdzono po zastosowaniu innych narzędzi, procedur i taktyki. Użyto złośliwe oprogramowanie: „TOUCHMOVE”, „SIDESHOW” i „TOUCHSHIFT”.
Jej działania gigant cyberbezpieczeństwa – firma Mandiant – namierzył już w czerwcu ubiegłego roku . Taktyka jest bowiem podobna do „operacji praca marzeń”, która była właśnie przypisywana tej grupie APT. Miała ona wcześniej atakować już m.in. firmy medialne, z sektora obronnego oraz firmy technologiczne.
Mandiant - z dużym prawdopodobieństwem podejrzewa, że UNC2970 to UNC577, znana również jako Temp.Hermit.
Czytaj też
Na czym polega taktyka grupy?
Cyberprzestępcy najpierw szukają ofiar za pośrednictwem serwisu LinkedIn, gdzie podszywają się pod rekruterów. Następnie przenoszą się na komunikator WhatsApp, aby tam rzekomo nadal zajmować się rekrutacją kandydata, wysyłając mu dokument Word, zawierający złośliwe makra. Dokumenty te mają być stylizowane pod określone stanowiska, takim przykładem było m.in. podszywanie się pod redakcję "New York Times".
Pełny przebieg ataku opisuje firma Mandiant w swoim najnowszym raporcie .
Warto zauważyć, że północnokoreańska grupa już wcześniej atakowała badaczy bezpieczeństwa, tworzyła fałszywe profile w mediach społecznościowych, które... także udawały analityków bezpieczeństwa zajmujących się bugami w zabezpieczeniach systemów. W ten sposób – w oparciu o wspólne pole zainteresowań – budowano zaufanie i proponowano potencjalną współpracę w wykrywaniu luk.
Po nawiązywaniu kontaktu z badaczem, haker wysyłał pliki ze złośliwym oprogramowaniem, w efekcie (w ramach udanej kampanii) zyskiwał zdalny dostęp do komputera analityka.
Czytaj też
/NB
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
