Темная сторона LinkedIn: Фиктивные вакансии Lazarus Group

Темная сторона LinkedIn: Фиктивные вакансии Lazarus Group.

Северокорейская хакерская группа Lazarus Group использует новый тип сложного вредоносного ПО в своих мошеннических схемах трудоустройства, которое, как предупреждают исследователи, гораздо сложнее обнаружить, чем его предшественника.

Согласно сообщению старшего исследователя вредоносных программ компании ESET Питера Калнаи (Peter Kálnai) от 29 сентября, при анализе недавних действий фиктивных рекрутеров ESET обнаружили недокументированный бэкдор под названием LightlessCan.

Исследователи #ESET представили результаты атаки связанной с Северной Кореей #APT-группы #Lazarus, целью которой была аэрокосмическая компания в Испании.- ESET (@ESET) 29 сентября 2023 г.

Мошенничество Lazarus Group с поддельными вакансиями обычно заключается в том, что жертвы обманываются потенциальным предложением о работе в известной фирме. Злоумышленники убеждают жертв загрузить вредоносную программу, замаскированную под документы, для нанесения всевозможного ущерба.

Однако, по словам Калнаи, новая программа LightlessCan является значительным усовершенствованием по сравнению со своей предшественницей BlindingCan.

LightlessCan имитирует функциональность широкого спектра собственных команд Windows, что позволяет незаметно выполнять их внутри самой RAT вместо консольного исполнения.

Такой подход дает значительное преимущество в плане скрытности, как для уклонения от мониторинга в реальном времени, таких как EDR, так и для посмертных средств цифровой криминалистики, - отметил он.

Остерегайтесь фальшивых рекрутеров LinkedIn! Узнайте, как группа Lazarus эксплуатировала испанскую аэрокосмическую компанию с помощью троянской задачи по кодированию. Ознакомьтесь с деталями их кибершпионской кампании в нашей последней статье #WeLiveSecurity. #ESET #ProgressProtected - ESET (@ESET) 29 сентября 2023 г.

В новой полезной нагрузке также используются так называемые защитные рельсы (execution guardrails) - гарантия того, что полезная нагрузка может быть расшифрована только на машине предполагаемой жертвы, что позволяет избежать непреднамеренной расшифровки исследователями безопасности.

По словам Калнаи, один из случаев использования новой вредоносной программы был связан с атакой на испанскую аэрокосмическую компанию, когда сотрудник получил сообщение от поддельного рекрутера Meta по имени Стив Доусон.

Вскоре после этого хакеры прислали две простые задачи по кодированию, встроенные в вредоносную программу.

Кибершпионаж был основной мотивацией атаки Lazarus Group на испанскую аэрокосмическую компанию, добавил он.

Согласно отчету компании Chainalysis, опубликованному 14 сентября, северокорейские хакеры с 2016 года похитили из криптовалютных проектов примерно 3,5 млрд долл.

В сентябре 2022 г. компания SentinelOne, специализирующаяся на кибербезопасности, предупредила о появлении на LinkedIn мошенничества с поддельными вакансиями, предлагающего потенциальным жертвам работу на Crypto.com в рамках кампании, получившей название Операция Работа мечты.