Zlonamjerni softver Lazarus cilja na tražitelje tehničkog posla: Evo što trebate znati

Teško je pronaći novi posao, a još je teže pronaći onaj koji odgovara vašim vještinama, vašim ambicijama i vašem radnom obrascu. Ako ste u tehnološkoj industriji, odgovaranjem na pogrešan oglas za posao možete riskirati vlastitu sigurnost i sigurnost svojih trenutnih poslodavaca, zahvaljujući hakiranim aplikacijama otvorenog koda koje nose ZetaNile malware. Evo što trebate znati

Zašto su tražitelji posla u opasnosti?

Državno sponzorirana sjevernokorejska kriminalna hakerska skupina, Lazarus, cilja na radnike u području tehnologije, obrane i medijske zabave s spear phishing napadima preko Linkedina.

Prema Microsoftov centar za obavještavanje o prijetnjama (MSTIC), kriminalci—poznati i kao ZINC—predstavljaju se kao regruteri, dopiru do pojedinaca u ciljanim sektorima i potiču ih da se prijave za otvorena radna mjesta. Nakon naizgled normalnog procesa zapošljavanja, razgovori se premještaju s platforme, prije nego što se od novaka traži da preuzmu i instaliraju popularne aplikacije otvorenog koda kao što su PuTTY SSH klijent, emulator terminala KiTTY i TightVNC Viewer.

Ovi alati otvorenog koda često se koriste u svijetu tehnologije i široko su dostupni besplatno na internetu naplatiti, ali verzije koje nudi Lazarus preko WhatsAppa su hakirane kako bi se olakšala isporuka malware.

Aplikacije se distribuiraju kao dio a zip arhiva ili ISO datoteku i same ne sadrže zlonamjerni softver. Umjesto toga, izvršni se povezuje na IP adresu navedenu u pratećoj tekstualnoj datoteci, odakle se ZetaNile malware preuzima i instalira.

Lazarus naoružava prijavu za posao u svakoj fazi, uključujući i sam obrazac za prijavu - kandidate se potiče da ispune obrazac pomoću izvrgnute verzije Sumatra PDF Reader-a.

Što je ZetaNile i čemu služi?

Nakon što se backdoor dohvati sa svoje udaljene lokacije, kreira se planirani zadatak, koji jamči postojanost. Zatim kopira legitiman proces sustava Windows i učitava zlonamjerne DLL-ove prije povezivanja s domenom za naredbe i kontrolu.

Od ove točke stvarni čovjek kontrolira vaš stroj (nažalost, to niste vi). Oni mogu identificirati kontrolere domene i mrežne veze, kao i otvoriti dokumente, napraviti snimke zaslona i eksfiltrirati vaše podatke. Kriminalci također mogu instalirati dodatni malware na ciljni sustav.

Što trebate učiniti ako sumnjate da imate ZetaNile malware?

Pojedinačni tražitelj posla vjerojatno neće biti svjestan da je instalirao zlonamjerni softver na svoju korporativnu mrežu, ali MSTIC je pružio neke praktične upute za sistemske administratore i sigurnosne timove koji moraju pokupiti dijelove i očistiti nered:

• Provjerite postojanje Amazon-KiTTY.exe, Amazon_IT_Assessment.iso, IT_Procjena.iso, amazon_assessment_test.iso, ili SecurePDF.exe na računalima.
• Uklonite C:\ProgramData\Comms\colorui.dll, i %APPDATA%\KiTTY\mscoree.dll datoteke.
• Blokiraj mrežni pristup 172.93.201[.]253, 137.184.15[.]189, i 44.238.74[.]84. Te su IP adrese ukodirane u zlonamjerni softver.
• Pregledajte sve aktivnosti provjere autentičnosti za infrastrukturu daljinskog pristupa.
• Omogući multifaktorsku autentifikaciju za sve sustave.
• Educirajte korisnike o sprječavanju infekcija zlonamjernim softverom, kao i zaštiti osobnih i poslovnih podataka.

Ova posljednja stavka posebno je znakovita, a aforizam da je korisnik najslabija karika u sigurnosnom opskrbnom lancu s razlogom je točan. Svaki softverski problem ili sigurnosna rupa mogu se popraviti, ali je teško spriječiti osobu za tipkovnicom da instalira sumnjive pakete—posebno ako je u iskušenju novog, dobro plaćenog posla.

Za korisnike koji su u iskušenju instalirati nedorečen softver na svoje radno računalo: jednostavno nemojte. Umjesto toga, zamolite IT da to učini umjesto vas (oni će vas upozoriti ako nešto nije u redu), ili ako baš morate, preuzmite sa službenog izvora.

Kriminalci uvijek traže put do mreža

Korporativne tajne su vrijedne i uvijek postoje ljudi i grupe koji traže jednostavan način da dođu do njih. Usmjeravanjem na tražitelje posla mogu gotovo jamčiti da početna žrtva neće biti uključena u IT—nitko ne želi da ga se vidi kako se prijavljuje za nove poslove sa svog radnog računala. Ako koristite opremu svojih poslodavaca, trebali biste je koristiti samo za rad. Sačuvajte traženje posla kada se vratite kući.