Bitdefender Labs обнаружила активную кампанию, проводимую хакерской группой Lazarus Group, связанной с Северной Кореей. Злоумышленники нацелены на организации путем кражи учетных данных и распространения вредоносного программного обеспечения через поддельные предложения о работе на платформе LinkedIn.
Тактика злоумышленников
Злоумышленники используют доверие к платформе, заманивая потенциальных жертв привлекательными предложениями, такими как вакансии на децентрализованных криптовалютных биржах. Эти предложения часто содержат:
- расплывчатые детали;
- обещания гибкости;
- разумную оплату.
Особенности вредоносного ПО
Анализ недавней аферы показал, что вредоносный код, изначально казавшийся безобидным, содержит запутанные скрипты, загружающие опасную полезную информацию из внешних источников. Основная полезная нагрузка функционирует как кроссплатформенный инфокрад, нацеленный на популярные криптовалютные кошельки, с возможностью:
- сканирования расширений браузера, связанных с криптографией;
- отправки конфиденциальной информации на контролируемый IP-адрес.
Угрозы систем безопасности
Инфокрад работает на Windows, macOS и Linux, что значительно расширяет его охват. Получив доступ к учетным данным, вредоносная программа запускает дополнительные скрипты, в том числе написанные на Python. Эти модули участвуют в:
- разведке системы;
- извлечении файлов;
- поддержании постоянной связи с сервером Command & Control (C2).
Способы кражи данных
Замечено, что вредоносная инфраструктура включает в себя компоненты, которые способны:
- выводить из строя программное обеспечение безопасности;
- устанавливать прокси-соединения Tor;
- развертывать дополнительную полезную нагрузку, такую как бэкдор для массовой кражи данных.
Основные функциональные возможности вредоносного ПО включают:
- бэкдор для сбора данных (учетные данные браузера и ключи от криптокошелька);
- настраиваемый похититель файлов на основе инструкций C2;
- криптомайнер, который адаптируется в зависимости от загрузки системы;
- кейлоггер, фиксирующий нажатия клавиш через Windows API.
Широкий спектр атак
Лаборатории Bitdefender подчеркивают, что деятельность Lazarus Group не ограничивается кражей персональных данных. Их цель — проникновение в чувствительные сектора, такие как авиация и оборона, с целью извлечения секретных данных и использования украденных корпоративных учетных данных в шпионских целях.
Предыдущие инциденты с участием этих хакеров включали:
- вредоносные приложения для трудоустройства;
- выдачу себя за законных лиц для доступа к проприетарным технологиям.
Рекомендации по безопасности
С учетом растущей уязвимости платформ социальных сетей, организациям и частным лицам настоятельно рекомендуется проявлять осторожность. Рекомендации по мерам защиты включают:
- отказ от выполнения ненадежного кода;
- использование виртуальных машин или изолированных программ;
- внедрение строгого протокола безопасности для защиты конфиденциальных данных.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Лазарус: Непрекращающаяся угроза через LinkedIn и криптовалюты".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.