Программное обеспечение с открытым исходным кодом взломано северокорейскими хакерами

Microsoft заявляет , что северокорейская группировка Lazarus (ZINC) троянизирует ПО с открытым исходным кодом и использует его для создания бэкдоров в организациях из сферы технологий, обороны и медиа-развлечений.

Для развертывания бэкдора BLINDINGCAN (ZetaNile) Lazarus используют следующее открытое ПО:

• PuTTY (SSH/telnet/rlogin клиент);
• KiTTY (telnet/SSH клиент);
• TightVNC (программа для удаленного рабочего стола);
• Sumatra PDF Reader (программа для просмотра различных типов файлов);
• muPDF/Subliminal Recording (установщик ПО).

Эти троянизированные программы использовались в атаках с использованием социальной инженерии с конца апреля до середины сентября 2022 года. Зараженное ПО было нацелено в основном на инженеров и специалистов техподдержки, работающих в IT-компаниях и медиаорганизациях в Великобритании, Индии и США.

Согласно отчету Microsoft , злоумышленники создали «поддельные аккаунты, выдающие себя за рекрутеров из технологических, оборонных и медиакомпаний, с целью переманить цели из LinkedIn в мессенджер WhatsApp для доставки вредоносного ПО. Жертвы получили предложение работы с учетом их профессии или происхождения, и им было предложено подать заявку на вакансию в одной из нескольких законных компаний.

После того, как хакеры развернули вредоносное ПО в системе жертвы, они использовали бэкдор для совершения бокового перемещения и обнаружения сети с целью кражи конфиденциальной информации.

Цепочка атак Lazarus

ИБ-компания Mandiant заявила, что кампания группы, вероятно, является продолжением кампании Operation Dream Job , которая действует с июня 2020 года. В ходе кампании хакеры заманивали цели из известных оборонных и аэрокосмических компаний в США фальшивыми предложениями о работе.