Hackers που συνδέονται με τη Βόρεια Κορέα βρίσκονται πίσω από μια spear-phishing επίθεση, στην οποία παρουσιάζονται σαν στελέχη της Samsung που αναζητούν προσωπικό για την εταιρεία. Στόχοι της εκστρατείας είναι κυρίως υπάλληλοι σε εταιρείες cybersecurity της Νότιας Κορέας.
Δείτε επίσης: IKEA κυβερνοεπίθεση: Phishing emails στόχευσαν υπαλλήλους
Η spear-phishing εκστρατεία ανακαλύφθηκε από τους ερευνητές της Google.
Σύμφωνα με την αναφορά “Google Threat Horizons“, οι hackers που χρηματοδοτούνται από την κυβέρνηση της Βόρειας Κορέας, έκαναν ψεύτικες προσφορές εργασίας σε υπαλλήλους εταιρειών cybersecurity. Οι ερευνητές της Google ανέφεραν ότι η ίδια ομάδα, η οποία παρακολουθείται ως Zinc, έχει στοχεύσει και στο παρελθόν ερευνητές ασφαλείας.
Δείτε επίσης: FBI: Προειδοποιεί για brand phishing που στοχεύει πελάτες υψηλού προφίλ
Η έκθεση αναφέρει μεταξύ άλλων: “Τα emails περιελάμβαναν ένα PDF που φέρεται να είναι η περιγραφή της θέσης εργασίας, για έναν ρόλο στη Samsung. Ωστόσο, τα αρχεία PDF είχαν λανθασμένη μορφή και δεν άνοιγαν σε τυπικό πρόγραμμα ανάγνωσης PDF. Όταν οι στόχοι απάντησαν ότι δεν μπορούσαν να ανοίξουν την περιγραφή της εργασίας, οι επιτιθέμενοι απάντησαν με έναν κακόβουλο σύνδεσμο που οδηγούσε σε malware. Αυτό υποτίθεται ότι ήταν ένα «Secure PDF Reader» που ήταν αποθηκευμένο στο Google Drive“.
Η εφαρμογή που ήταν αποθηκευμένη στο Google Drive, ήταν μια πειραγμένη έκδοση του νόμιμου προγράμματος ανάγνωσης PDF, PDFTron. Κατά την εγκατάσταση της εφαρμογής, δημιουργείται ένα backdoor στις συσκευές των θυμάτων.
Η δραστηριότητα της APT ομάδας Zinc, που είναι γνωστή και ως Lazarus, έγινε πιο έντονη το 2014 και το 2015. Οι hackers δραστηριοποιούνται τουλάχιστον από το 2009 (ίσως και από το 2007), και έχουν στοχεύσει πολλές εταιρείες.
Δείτε επίσης: 100 εκατ. “pieces of malware” κατασκευάστηκαν για Windows το 2021
Όπως είπαμε και παραπάνω, οι επιτιθέμενοι έχουν στοχεύσει ξανά ερευνητές ασφαλείας μέσω πολλαπλών πλατφορμών κοινωνικής δικτύωσης, συμπεριλαμβανομένων των Twitter, LinkedIn, Telegram, Discord και Keybase.
Η πρόσφατη phishing εκστρατεία που στοχεύει εταιρείες cybersecurity από τη Νότια Κορέα και προσπαθεί να τις δελεάσει χρησιμοποιώντας το όνομα της Samsung, δείχνει ότι οι hackers της Βόρειας Κορέας θέλουν πιθανότατα να παραβιάσουν τους οργανισμούς ασφαλείας προκειμένου να στοχεύσουν και τους πελάτες τους.
Πηγή: securityaffairs.co