Den ökända nordkoreanska hotaktören, Lazarus Group, har observerats engagera sig i en mycket sofistikerad riktad skadlig programvara attack som involverar att äventyra populär programvara med öppen källkod och köra spjutfiskekampanjer.
Som ett resultat har det framgångsrikt engagerat "många" organisationer inom media, försvar och flyg-, såväl som IT-tjänsteindustrin, avslutade en Microsoft-rapport (öppnas i en ny flik).
Företaget hävdar att Lazarus (eller ZINC, som det kallar gruppen) äventyrade PuTTY, bland andra applikationer med öppen källkod, med skadlig kod som installerar spionprogram. PuTTY är en gratis terminalemulator, seriekonsol och nätverksfilöverföringsapplikation med öppen källkod.
Zeta Nile Facility
Men att bara kompromissa med öppen källkod garanterar inte åtkomst till målorganisationens slutpunkter – människor behöver fortfarande ladda ner och köra programvaran. Det är här harpunen kommer in. Genom att lansera en mycket riktad social ingenjörsattack på LinkedIn tvingar hotaktörer vissa personer som arbetar på riktade företag att ladda ner och köra appen. Uppenbarligen antar gruppens medlemmar identiteten som rekryterare på LinkedIn, vilket erbjuder människor lukrativa jobbmöjligheter.
Appen har utformats speciellt för att undvika upptäckt. Först när appen ansluter till en specifik IP-adress och loggar in med en speciell uppsättning inloggningsuppgifter, startar appen ZetaNile spyware malware.
Förutom PuTTY lyckades Lazarus äventyra KiTTY, TightVNC, Sumatra PDF Reader och muPDF/Subliminal Recording.
"Skådespelarna har framgångsrikt äventyrat många organisationer sedan juni 2022", skrev medlemmar i Microsoft Security Threat Intelligence och LinkedIn Threat Prevention and Defense i ett inlägg. "På grund av den utbredda användningen av plattformarna och mjukvaran som ZINC använder i den här kampanjen, kan ZINC utgöra ett betydande hot mot individer och organisationer i flera branscher och regioner."
Lazarus är inte främmande för falska jobberbjudanden. När allt kommer omkring har gruppen gjort samma sak mot utvecklare och artister av kryptovaluta, och utger sig som rekryterare för Crypto.com eller Coinbase.
