Microsoft Advanced Persistent Threat (APT) forskningsgruppe og Microsoft Threat Intelligence Center (MSTIC) advarer brukere om at hackere bruker sårbare åpen kildekode-løsninger og falske sosiale medier-kontoer for å infiltrere organisasjoner og installere skadelig programvare.
For å lure IT-og programvareansatte bruker trusselaktørene falske stillingsposter som lokker folk. På noen måter tærer hacket på arbeidsmobilitet innen teknologi og næringsliv.
Microsoft APT sier at phishing-angrepet blir utført av en gruppe med koblinger til det nordkoreanske militæret. Det er verdt å merke seg at dette er den samme gruppen som sto bak det beryktede Sony Pictures Entertainment-hacket fra 2014.
I tillegg til advarselen sier Microsoft Threat Intelligence Center (MSTIC) at gruppen bruker Sumatra PDF Reader, KiTTY, muPDF/Subliminal Recording, TightVNC og PuTTY for å bære skadelig programvare.
I en blogginnlegg, sier MSTIC at disse angrepene har pågått siden april.
Gruppen – best kjent som Lazarus, men også kalt ZINC av Microsoft – er kjent for spyd-phishing-kampanjer. For eksempel har Google Cloud Mandiant trusselanalyse også sporet slike angrep siden juli.
“Microsoft-forskere har observert spyd-phishing som en primær taktikk for ZINC-aktører, men de har også blitt observert ved bruk av strategiske nettstedkompromitteringer og sosial ingeniørkunst på tvers av sosiale medier for å nå sine mål,”MSTIC påpeker..
“ZINC retter seg mot ansatte i selskaper det forsøker å infiltrere og prøver å tvinge disse personene til å installere tilsynelatende godartede programmer eller åpne våpendokumenter som inneholder ondsinnede makroer. Målrettede angrep har også blitt utført. utført mot sikkerhetsforskere over Twitter og LinkedIn.”
Målretting mot sosiale medier
Sikkerhetsteam innen Microsofts LinkedIn har sett gruppen opprette fak e-profiler på bedriftens sosiale nettverk. Målet med disse profilene er å etterligne bedriftsrekrutterere for ulike sektorer og late som om de tilbyr jobber.
Mål som samhandler med LinkedIn og andre nettverk som WhatsApp som gruppen bruker, blir fjernet fra disse plattformene. Det er her lenker leveres lastet med skadelig programvare. I tillegg til LinkedIn og WhatsApp, har gruppen også blitt oppdaget på YouTube, Discord, Twitter, Telegram og via e-post.
LinkedIns trusselforebyggings-og forsvarsteam sier at de stengte de falske kontoene:.
“Targets fikk oppsøkende kontakt tilpasset deres yrke eller bakgrunn og ble oppfordret til å søke på en ledig stilling hos en av flere legitime selskaper. I samsvar med retningslinjene deres, for kontoer identifisert i disse angrepene, avsluttet LinkedIn raskt alle kontoer knyttet til uekte eller uredelig oppførsel.”
Dagens tips: Har problemer med pop-ups og uønskede programmer i Windows? Prøv den skjulte adware-blokkeringen til Windows Defender. Vi viser deg hvordan du slår den på med bare noen få trinn.
