Το κακόβουλο λογισμικό Lazarus στοχεύει άτομα που αναζητούν εργασία από τεχνολογία: Εδώ είναι τι πρέπει να γνωρίζετε

Η εύρεση μιας νέας δουλειάς είναι δύσκολη και είναι ακόμη πιο δύσκολο να βρεις μια που να ταιριάζει στις δεξιότητές σου, στις φιλοδοξίες σου και στο εργασιακό σου μοτίβο. Αν είστε στον κλάδο της τεχνολογίας, η απάντηση σε λάθος αγγελία εργασίας μπορεί να σας κάνει να διακινδυνεύετε τη δική σας ασφάλεια και την ασφάλεια των σημερινών εργοδοτών σας, χάρη στις παραβιασμένες εφαρμογές ανοιχτού κώδικα που φέρουν κακόβουλο λογισμικό ZetaNile. Εδώ είναι τι πρέπει να ξέρετε

Γιατί κινδυνεύουν τα άτομα που αναζητούν εργασία;

Η βορειοκορεατική εγκληματική ομάδα χάκερ, η οποία χρηματοδοτείται από το κράτος, Lazarus, στοχεύει εργαζόμενους στους τομείς της τεχνολογίας, της άμυνας και της ψυχαγωγίας των μέσων ενημέρωσης με επιθέσεις ψαρέματος με δόρυ μέσω Linkedin.

Σύμφωνα με Microsoft Threat Intelligence Center (MSTIC), οι εγκληματίες —γνωστοί και ως ZINC— παρουσιάζονται ως στρατολόγοι, προσεγγίζοντας άτομα σε στοχευμένους τομείς και ενθαρρύνοντάς τους να υποβάλουν αίτηση για ανοιχτές θέσεις. Μετά από μια φαινομενικά κανονική διαδικασία στρατολόγησης, οι συνομιλίες μετακινούνται εκτός πλατφόρμας, προτού ζητηθεί από τους νεοσύλλεκτους να κατεβάσουν και να εγκαταστήσουν δημοφιλείς εφαρμογές ανοιχτού κώδικα, όπως η

Πελάτης PuTTY SSH, τον εξομοιωτή τερματικού KiTTY και το TightVNC Viewer.

Αυτά τα εργαλεία ανοιχτού κώδικα χρησιμοποιούνται συνήθως στον κόσμο της τεχνολογίας και είναι ευρέως διαθέσιμα στο διαδίκτυο δωρεάν χρέωση, αλλά οι εκδόσεις που προσφέρονται από τον Lazarus μέσω του WhatsApp παραβιάζονται για να διευκολυνθεί η παράδοση κακόβουλο λογισμικό.

Οι εφαρμογές διανέμονται ως μέρος του α zip αρχείο ή αρχείο ISO και δεν περιέχουν οι ίδιοι το κακόβουλο λογισμικό. Αντίθετα, το εκτελέσιμο συνδέεται με μια διεύθυνση IP που καθορίζεται σε ένα συνοδευτικό αρχείο κειμένου, από όπου γίνεται λήψη και εγκατάσταση του κακόβουλου λογισμικού ZetaNile.

Ο Lazarus οπλίζει την αίτηση εργασίας σε κάθε στάδιο, συμπεριλαμβανομένης της ίδιας της φόρμας αίτησης — οι υποψήφιοι ενθαρρύνονται να συμπληρώσουν τη φόρμα χρησιμοποιώντας μια ανατρεπόμενη έκδοση του Sumatra PDF Reader.

Τι είναι το ZetaNile και τι κάνει;

Μόλις η κερκόπορτα ανακτηθεί από την απομακρυσμένη της θέση, δημιουργείται μια προγραμματισμένη εργασία, η οποία εγγυάται την επιμονή. Στη συνέχεια, αντιγράφει μια νόμιμη διαδικασία συστήματος των Windows και φορτώνει κακόβουλα DLL, πριν συνδεθεί σε έναν τομέα εντολών και ελέγχου.

Από αυτό το σημείο, ένας πραγματικός άνθρωπος έχει τον έλεγχο της μηχανής σας (δυστυχώς, δεν είστε εσείς). Μπορούν να αναγνωρίσουν ελεγκτές τομέα και συνδέσεις δικτύου, καθώς και να ανοίξουν έγγραφα, να τραβήξουν στιγμιότυπα οθόνης και να εκμεταλλευτούν τα δεδομένα σας. Οι εγκληματίες μπορούν επίσης να εγκαταστήσουν επιπλέον κακόβουλο λογισμικό στο σύστημα στόχο.

Τι πρέπει να κάνετε εάν υποψιάζεστε ότι έχετε κακόβουλο λογισμικό ZetaNile;

Το άτομο που αναζητά εργασία είναι απίθανο να γνωρίζει ότι έχει εγκαταστήσει κακόβουλο λογισμικό στο εταιρικό του δίκτυο, αλλά το MSTIC έχει παρείχε μερικές χρήσιμες οδηγίες για τους sysadmins και τις ομάδες ασφαλείας που έχουν απομείνει να μαζέψουν τα κομμάτια και να σφουγγαρίσουν το Ανω ΚΑΤΩ:

• Ελέγξτε για την ύπαρξη Amazon-KiTTY.exe, Amazon_IT_Assessment.iso, IT_Assessment.iso, amazon_assessment_test.iso, ή SecurePDF.exe σε υπολογιστές.
• Αφαιρέστε το C:\ProgramData\Comms\colorui.dll, και %APPDATA%\KiTTY\mscoree.dll αρχεία.
• Αποκλεισμός πρόσβασης δικτύου σε 172.93.201[.]253, 137.184.15[.]189, και 44.238.74[.]84. Αυτές οι IP είναι κωδικοποιημένες στο κακόβουλο λογισμικό.
• Ελέγξτε όλη τη δραστηριότητα ελέγχου ταυτότητας για υποδομή απομακρυσμένης πρόσβασης.
• Ενεργοποίηση ελέγχου ταυτότητας πολλαπλών παραγόντων για όλα τα συστήματα.
• Εκπαιδεύστε τους χρήστες σχετικά με την πρόληψη μολύνσεων από κακόβουλο λογισμικό, καθώς και την προστασία προσωπικών και επιχειρηματικών πληροφοριών.

Αυτό το τελευταίο στοιχείο είναι ιδιαίτερα ενδεικτικό και ο αφορισμός ότι ο πιο αδύναμος κρίκος στην αλυσίδα εφοδιασμού ασφάλειας είναι ο χρήστης, ισχύει για κάποιο λόγο. Οποιοδήποτε πρόβλημα λογισμικού ή κενό ασφαλείας μπορεί να διορθωθεί, αλλά είναι δύσκολο να σταματήσετε το άτομο που βρίσκεται πίσω από το πληκτρολόγιο από το να εγκαταστήσει άβολα πακέτα —ειδικά αν δελεάζεται από μια νέα, καλά αμειβόμενη δουλειά.

Για χρήστες που μπαίνουν στον πειρασμό να εγκαταστήσουν πρόχειρο λογισμικό στον υπολογιστή εργασίας σας: απλά μην το κάνετε. Αντίθετα, ζητήστε από το IT να το κάνει για εσάς (θα σας προειδοποιήσει εάν κάτι δεν πάει καλά) ή αν πρέπει οπωσδήποτε, κάντε λήψη από την επίσημη πηγή.

Οι εγκληματίες αναζητούν πάντα διέξοδο στα δίκτυα

Τα εταιρικά μυστικά είναι πολύτιμα και πάντα υπάρχουν άνθρωποι και ομάδες που αναζητούν έναν εύκολο τρόπο να τα αποκτήσουν. Στοχεύοντας άτομα που αναζητούν εργασία, μπορούν σχεδόν να εγγυηθούν ότι το αρχικό θύμα δεν θα εμπλακεί στην πληροφορική — κανείς δεν θέλει να φαίνεται να κάνει αίτηση για νέες θέσεις εργασίας από τον υπολογιστή της εργασίας του. Εάν χρησιμοποιείτε τον εξοπλισμό των εργοδοτών σας, θα πρέπει να τον χρησιμοποιείτε μόνο για εργασία. Αποθηκεύστε την αναζήτηση εργασίας για όταν επιστρέψετε στο σπίτι.