Microsoft, Kuzey Koreli destekli Lazarus Tehdit Grubunun meşru açık kaynaklı yazılımları trenize ettiğini ve bunu teknoloji, savunma ve medya eğlencesi gibi birçok endüstri sektöründeki arka kapı organizasyonlarına kullandığını söyledi.
Lazarus Eyalet bilgisayar korsanları tarafından BlindingCan'ı (aka zetanile) backdoor'u dağıtmak için silahlandırılan açık kaynaklı yazılım listesi, macun, kedicik, tuchvnc, sumatra pdf okuyucusu ve mupdf/subliminal kayıt yazılımı yükleyicisini içerir.
Macun ve Kitty SSH müşterileri, Maniant tarafından bu ay bildirildiği gibi, sahte iş becerileri değerlendirmelerindeki hedeflerin cihazlarını arka kapılara kullandı.
Bu truva yazılım, Nisan ayı sonundan 2022 yılına kadar sosyal mühendislik saldırılarında kullanıldı ve öncelikle İngiltere, Hindistan ve ABD'deki BT ve medya kuruluşlarında çalışan mühendislere ve teknik destek uzmanlarına odaklandı.
Microsoft, saldırganlar "teknoloji, savunma ve medya eğlence şirketlerinde çalışan işe alım görevlileri olduğunu iddia eden sahte profiller, hedefleri LinkedIn'den ve kötü amaçlı yazılım teslimatı için şifreli mesajlaşma uygulaması WhatsApp'a taşımak amacıyla yarattı.
"Hedefler, mesleklerine veya geçmişlerine göre uyarlanmış sosyal yardım aldı ve birkaç meşru şirketten birinde açık bir pozisyona başvurmaya teşvik edildi."
Hedefler, kötü amaçlı yazılımları sistemlerine dağıtmak için silahlandırılmış yazılımı indirmek için kandırıldıktan sonra, Lazarus operatörleri, hassas bilgileri çalmak amacıyla yanal hareket ve ağ keşfi için arka kapıyı kullandılar.
Mantiant raporunda, grubun en son faaliyetlerinin, Haziran 2020'den bu yana, ABD'deki önde gelen savunma ve havacılık şirketlerinden hedefleri sahte iş teklifleriyle çektiği Kuzey Kore siber-ihale kampanyası olan Operasyon Dream Job'un devamı gibi göründüğünü söyledi.
Lazarus Grubu (aynı zamanda çinko, Labirent Chollima ve Black Artemis olarak da izlenir) en az 2009'dan beri aktif bir Kuzey-Kore askeri hack grubudur.
Dünya çapında birden fazla banka olan Blockbuster Operasyonunda Sony filmlerini hackledikten ve 2017 Global WannaCry Fidye Yazılımı kampanyasını koordine ettikten sonra kötü şöhret kazandı.
Daha yakın zamanlarda Lazarus, Ocak ayında ayrıntılı sahte "güvenlik araştırmacısı" sosyal medya kişilerini kullanarak ve Mart ayında benzer bir kampanyada sosyal mühendislik saldırılarında güvenlik araştırmacılarını hedef aldı.
Ayrıca, bir düzineden fazla ülkenin savunma endüstrisine karşı büyük ölçekli bir siber-ihale kampanyasında tehdit back kapısını kullandılar.
ABD hükümeti, Eylül 2019'da DPRK tarafından desteklenen üç hack grubunu (Lazarus, Bluenoroff ve Andariel) onayladı ve şimdi Kuzey Koreli hackerların siber faaliyeti hakkında bilgi için 5 milyon dolara kadar bir ödül sunuyor.
Lazarus Hacker'ları kötüye kullanma Dell sürücü hatası yeni Fudmodule rootkit kullanarak
Lazarus Hackers, Crypto.com iş teklifleri aracılığıyla macOS kötü amaçlı yazılımları bırakın
Bilgisayar korsanları Putty SSH müşterisini Backdoor Media Company'ye Trojanize
Kuzey Koreli Lazarus Hacker'ları ABD Enerji Sağlayıcılarını hedef alıyor
Yeni Hacking Grubu 'Metador' Aylarca ISS Networks'te gizleniyor
Kaynak: Bleeping Computer