Den ökända nordkoreanska hotaktören, Lazarus Group, har observerats engagera sig i en mycket sofistikerad riktad skadlig programvara attack som involverar att äventyra populär programvara med öppen källkod och köra spjutfiskekampanjer.
Som ett resultat komprometterade det framgångsrikt "många" organisationer inom media-, försvars- och flygindustrin, såväl som inom IT-tjänstesektorn, avslutade en Microsoft-rapport (öppnas i en ny flik).
Företaget hävdar att Lazarus (eller ZINC, som det kallar gruppen) äventyrade PuTTY, bland andra applikationer med öppen källkod, med skadlig kod som installerar spionprogram. PuTTY är en gratis terminalemulator, seriekonsol och nätverksfilöverföringsapplikation med öppen källkod.
Zeta Nile Facility
Men att bara kompromissa med öppen källkod garanterar inte åtkomst till målorganisationens slutpunkter – människor behöver fortfarande ladda ner och köra programvaran. Det är här harpunen kommer in. Genom att lansera en mycket riktad social ingenjörsattack på LinkedIn tvingar hotaktörer vissa personer som arbetar på riktade företag att ladda ner och köra appen. Uppenbarligen antar gruppens medlemmar identiteten som rekryterare på LinkedIn, vilket erbjuder människor lukrativa jobbmöjligheter.
Appen har utformats speciellt för att undvika upptäckt. Först när appen ansluter till en specifik IP-adress och loggar in med en speciell uppsättning inloggningsuppgifter, startar appen ZetaNile spyware malware.
Förutom PuTTY lyckades Lazarus äventyra KiTTY, TightVNC, Sumatra PDF Reader och muPDF/Subliminal Recording.
"Aktörer har framgångsrikt äventyrat många organisationer sedan juni 2022", skrev medlemmar av Microsoft Security Threat Intelligence och LinkedIn Threat Prevention and Defense i ett inlägg. "På grund av den utbredda användningen av plattformarna och mjukvaran ZINC använder i denna kampanj, kan ZINC utgöra ett betydande hot mot individer och organisationer i flera branscher och regioner."
Lazarus är inte främmande för falska jobberbjudanden. När allt kommer omkring har gruppen gjort samma sak mot utvecklare och artister av kryptovaluta, och utger sig som rekryterare för Crypto.com eller Coinbase.