微软表示,位于朝鲜的国家资助黑客组织 Lazarus 现在正在使用开源软件并创造虚假工作以传播恶意软件。
众所周知的黑客组织针对许多关键行业领域,例如技术、媒体娱乐和国防,并使用许多不同类型的软件进行这些攻击。
下次您在 LinkedIn 上收到消息时,您应该小心。微软警告说,总部位于朝鲜的威胁组织一直在积极使用感染了木马的开源软件来攻击行业专业人士。微软已确定这些社会工程攻击始于 4 月下旬,并至少持续到 9 月中旬。
Lazarus,也被称为 ZINC、Labyrinth Chollima 和 Black Artemis,是来自朝鲜的国家支持的军事黑客组织。据说它至少从 2009 年就开始活跃,从那时起它就发起了各种大型攻击,包括网络钓鱼、勒索软件活动等等。
该组织一直在创建虚假的 LinkedIn 招聘人员资料,并在合法的现有公司中寻找合适的候选人。 “目标获得了针对他们的专业或背景量身定制的外展服务,并被鼓励申请几家合法公司之一的空缺职位,”微软表示。
一旦受害者被说服将对话从 LinkedIn 转移到提供加密通信的 WhatsApp 上,黑客就会继续下一步。在 WhatsApp 对话期间,目标收到了受感染的软件,这些软件允许 Lazarus 在其系统上部署恶意软件。
黑客的最终目标是能够窃取敏感信息或访问有价值的网络。除了在 PuTTY、KiTTY、TightVNC、muPDF/Subliminal Recording 和 Sumatra PDF Reader 等程序中发现的恶意软件之外,这些攻击在社交方面也经过精心设计,LinkedIn 个人资料和公司被挑选到匹配受害者的职业。
正如 Bleeping Computer 所指出的,ZINC 还通过使用虚假的社交媒体角色分发恶意软件来进行类似的攻击。早些时候,它主要针对安全研究人员;这一次,攻击范围更广。
这些攻击似乎是梦想工作行动的后续行动。该活动自 2020 年开始活跃,重点关注美国国防和航空航天部门的目标,并通过有趣的工作机会吸引他们,所有目标都是进行网络间谍活动。 Lazarus 过去也被发现针对加密货币工作者和加密货币交易所。
如何保护自己免受这些攻击?如果可能的话,尽量将您的 LinkedIn 对话保留在平台上。不要接受来自陌生人的文件,并确保使用好的防病毒软件。最后,不要害怕与公司联系并验证试图向您发送文件的人是否确实在那里工作。