Η Lazarus έχει συνδεθεί με μια νέα καμπάνια που επιτίθεται σε αισιόδοξους υποψήφιους για εργασία στην αμυντική βιομηχανία. Η ομάδα APT στην τελευταία της επιχείρηση υποδύεται την Lockheed Martin. Η εταιρεία με έδρα το Bethesda του Μέριλαντ ασχολείται με την αεροναυπηγική, τη στρατιωτική τεχνολογία, τα συστήματα αποστολής και την εξερεύνηση του διαστήματος.
Δείτε επίσης: Kimsuky: Χρησιμοποιεί RAT με προσαρμοσμένο Gold Dragon malware
Η Lockheed Martin πραγματοποίησε πωλήσεις 65,4 δισεκατομμυρίων δολαρίων το 2020 και έχει περίπου 114.000 υπαλλήλους παγκοσμίως.
Η Lazarus είναι μια κρατική ομάδα hacking με δεσμούς με τη Βόρεια Κορέα. Η ομάδα γενικά έχει οικονομικά κίνητρα και πιστεύεται ότι είναι υπεύθυνη για σοβαρές επιθέσεις που έγιναν στο παρελθόν, ξεκινώντας με το ξέσπασμα του ransomware WannaCry, καθώς και τη ληστεία 80 εκατομμυρίων δολαρίων κατά της Bangladeshi Bank, επιθέσεις εναντίον εταιρειών μεταφοράς εμπορευμάτων και αλυσίδων εφοδιασμού της Νότιας Κορέας.
Στις 8 Φεβρουαρίου, ο Qualys Senior Engineer of Threat Research Akshat Pradhan αποκάλυψε μια νέα καμπάνια που χρησιμοποιεί το όνομα της Lockheed Martin για να επιτεθεί σε υποψήφιους που ψάχνουν για εργασία.
Δείτε επίσης: Οι ΗΠΑ κατάσχεσαν 3,6 δις $ που είχαν κλαπεί από το Bitfinex cryptoexchange
Με παρόμοιο τρόπο με προηγούμενες δραστηριότητες που καταχράστηκαν τη φήμη της Northrop Grumman και της BAE Systems, η ομάδα Lazarus στέλνει στους στόχους έγγραφα phishing προσποιούμενη ότι προσφέρει ευκαιρίες απασχόλησης.
Τα έγγραφα, που ονομάζονται Lockheed_Martin_JobOpportunities.docx και Salary_Lockheed_Martin_job_opportunities_confidential.doc, περιέχουν κακόβουλες μακροεντολές που ενεργοποιούν τον shellcode για να κάνουν hijack το control flow, να ανακτήσουν έγγραφα decoy και να δημιουργήσουν Scheduled tasks για επιμονή.
Επίσης γίνεται κατάχραση των Living Off the Land Binaries (LOLBins) για την περαιτέρω παραβίαση της μηχανής-στόχου. Ωστόσο, όταν τα κακόβουλα scripts προσπάθησαν να τραβήξουν ένα επιπλέον payload, επιστράφηκε ένα σφάλμα — και έτσι η Qualys δεν μπορεί να είναι σίγουρη τι προοριζόταν να επιτύχει το τελικό πακέτο malware.
Δεν είναι η πρώτη φορά που η Lazarus εκμεταλλεύεται υποψηφίους για νέες θέσεις εργασίας. Η F-Secure εντόπισε στο παρελθόν δείγματα ηλεκτρονικών μηνυμάτων ηλεκτρονικού ψαρέματος, που είχαν μεταμφιεστεί ως προσφορές εργασίας, τα οποία στάλθηκαν σε διαχειριστή συστήματος που ανήκει σε στοχευμένο οργανισμό κρυπτονομισμάτων.
Δείτε επίσης: Google: Διορθώνει κρίσιμες ευπάθειες σε Android συσκευές
Σε σχετική έρευνα, η ομάδα κυβερνοασφάλειας Blueliv της Outpost24 έχει ονομάσει τις Lazarus, Cobalt και FIN7 ως τις πιο διαδεδομένες ομάδες που στοχεύουν τον χρηματοπιστωτικό κλάδο.
Πηγή πληροφοριών: zdnet.com
