Gardets

ESET: Lazarus APT slog flyg-, försvarssektorn med falska jobbannonser

Lazarus avancerade persistent hot (APT)-operation – som har kopplats till den nordkoreanska regeringen – drabbade flyg- och försvarsentreprenörer över hela vĂ€rlden i en kampanj som sĂ„g hotaktörerna missbruka sociala nĂ€tverk och meddelandeplattformar för att komma Ă„t anstĂ€llda vid sina mĂ„l.

Enligt ESET Research, som presenterade resultaten av sin undersökning vid ESET World Conference, missbrukade gruppen LinkedIn och WhatsApp genom att utge sig för att vara rekryterare för att nÀrma sig intet ont anande anstÀllda vid sina mÄl, bygga förtroende och förtroende innan de levererade skadliga komponenter förklÀdda som jobbbeskrivningar eller ansökan formulÀr.

Kampanjen Ă€r kopplad till en tidigare serie attacker – kallad Operation In(ter)caption – av en Lazarus-kopplad grupp redan 2020, som anvĂ€nde liknande tekniker för att rikta sig mot organisationer i Brasilien, Tjeckien, Qatar, Turkiet och Ukraina.

Kampanjen startade hösten 2021 och pÄgick till mars 2022 och riktade sig till verksamheter i Frankrike, Tyskland, Italien, NederlÀnderna, Polen, Spanien, Ukraina och Brasilien.

ESET bedömer att Lazarus avsikt var att bedriva spionage och stjÀla medel, vilket Àr det vanliga sÀttet att hota aktörer som arbetar för den utblottade nordkoreanska regimen. Lyckligtvis, sa de, var kampanjen inte sÀrskilt framgÄngsrik.

Men Lazarus visade viss uppfinningsrikedom i sin kampanj, sÀger Jean-Ian Boutin, ESET:s chef för hotforskning, som beskrev hur gruppen distribuerade en verktygsuppsÀttning som inkluderade en anvÀndarlÀgeskomponent som kunde utnyttja en redan sÄrbar Dell-drivrutin för att skriva till kÀrnminne.

“Detta avancerade trick anvĂ€ndes i ett försök att kringgĂ„ övervakning av sĂ€kerhetslösningar,” sa Boutin.

ESET sa att det var ganska tydligt att operationen mestadels var inriktad pĂ„ att attackera europeiska entreprenörer, men genom att spĂ„ra antalet undergrupper som kör liknande kampanjer kunde de faststĂ€lla att det faktiskt var mycket bredare Ă€n sĂ„, och Ă€ven om typerna av skadlig programvara som anvĂ€ndes ofta skilde sig Ă„t, det ursprungliga lockbetet – löftet om ett nytt jobb som aldrig funnits – förblev detsamma hela tiden, vilket kanske speglar hur effektiv tekniken Ă€r.

Forskarna sa att det var sÀrskilt anmÀrkningsvÀrt att Lazarus lade till anstÀllningskampanjelement som man kan anse som mer legitima, som att göra tillvÀgagÄngssÀtt via LinkedIn, nÄgot som de flesta kontorsbaserade anstÀllda kan relatera till. AnvÀndningen av meddelandetjÀnster som WhatsApp eller Slack gav kampanjen mer legitimitet.

Boutin sa att det var uppenbart att företag och civila inte lÀngre Àr de vanligaste offren för illvilliga attacker, snarare löper den offentliga sektorn och anknutna entreprenörer en mycket större risk, med resultatet av ett framgÄngsrikt intrÄng potentiellt mycket allvarligare.

Som redan nÀmnts Àr ett av Lazarus frÀmsta motiv att samla in viktiga medel till den nordkoreanska regimen, och för detta ÀndamÄl Àr mycket av dess verksamhet centrerad pÄ utpressning eller stöld. PÄ senare tid har det fokuserats sÀrskilt pÄ kryptovÀrlden, som till viss del ligger utanför det globala finansiella systemets jurisdiktion.

Tidigare i Är sanktionerades Blender.io, en kryptovalutamixer som anklagats för att ha hjÀlpt Lazarus att tvÀtta stulna pengar, av det amerikanska finansdepartementet.

Lazarus tros ha kanaliserat $20,5 miljoner pengar genom Blender.io, som den stal frÄn hackade konton som tillhör spelare i det icke-fungibla token-baserade multiplayerspelet Axie Infinity.

En attack i mars 2022 mot spelets tillverkare, Sky Mavis, sÄg 600 miljoner dollar i kryptovaluta stulna.

HĂ„ll kontakten med oss ​​pĂ„ sociala medieplattformar för omedelbar uppdatering klicka hĂ€r för att gĂ„ med i vĂ„r Twitter och Facebook

BotĂłn volver arriba

Annonsblockerare upptÀckt

Du mÄste ta bort AD BLOCKER för att fortsÀtta anvÀnda vÄr webbplats TACK