Grupul de cercetare Microsoft Advanced Persistent Threat (APT) și Microsoft Threat Intelligence Center (MSTIC) avertizează utilizatorii că hackerii folosesc soluții vulnerabile open source și conturi de rețele sociale false pentru a se infiltra în organizații și a instala malware.
Pentru a păcăli personalul IT și software, actorii amenințărilor folosesc falsuri. posturi de muncă care ademenesc oamenii. Într-un fel, hack-ul vizează mobilitatea forței de muncă în tehnologie și afaceri.
Microsoft APT spune că atacul de phishing este comis de un grup cu legături cu armata nord-coreeană. Este demn de remarcat că acesta este același grup care a stat în spatele infamului Hack-ul Sony Pictures Entertainment din 2014.
Adăugând la avertisment, Microsoft Threat Intelligence Center (MSTIC) spune că grupul folosește Sumatra PDF Reader, KiTTY, muPDF/Subliminal Recording, TightVNC și PuTTY pentru a transporta malware-ul.
Într-un post de blog, MSTIC spune că aceste atacuri au loc de când Aprilie.
Grupul – cel mai bine cunoscut sub numele de Lazarus, dar numit și ZINC de către Microsoft – este cunoscut pentru campaniile de spear-phishing. De exemplu, analiza amenințărilor Google Cloud Mandiant urmărește și astfel de atacuri din iulie.
„Cercetătorii Microsoft au observat spear-phishing-ul ca tactică principală a actorilor ZINC, dar au fost observați și folosind compromisuri strategice ale site-urilor web. și inginerie socială prin intermediul rețelelor sociale pentru a-și atinge obiectivele”, MSTIC subliniază..
„ZINC vizează angajații companiilor în care încearcă să se infiltreze și încearcă să-i constrângă să instaleze programe aparent benigne sau să deschidă documente cu arme care conțin macrocomenzi rău intenționate. Au fost, de asemenea, atacuri direcționate. efectuat împotriva cercetătorilor de securitate pe Twitter și LinkedIn.”
Direcționarea rețelelor sociale
Echipele de securitate din cadrul LinkedIn de la Microsoft au văzut grupul creând falsuri profilurile e pe rețeaua socială de afaceri. Scopul acestor profiluri este de a imita recrutorii de afaceri pentru diverse sectoare și de a pretinde că oferă locuri de muncă.
Tintele care interacționează cu LinkedIn și alte rețele, cum ar fi WhatsApp, pe care grupul le folosește, sunt eliminate de pe acele platforme. Aici sunt furnizate link-uri încărcate cu malware. Pe lângă LinkedIn și WhatsApp, grupul a fost văzut și pe YouTube, Discord, Twitter, Telegram și prin e-mailuri.
Echipa de prevenire și apărare a amenințărilor LinkedIn spune că a închis conturile false:.
p>
„Țintele au primit informații adaptate profesiei sau experienței lor și au fost încurajați să aplice pentru o poziție deschisă la una dintre mai multe companii legitime. În conformitate cu politicile lor, pentru conturile identificate în aceste atacuri, LinkedIn a închis rapid toate conturile asociate cu un comportament neautentic sau fraudulos.”
Sfatul zilei: întâmpinați probleme cu pop-ul. up-uri și programe nedorite în Windows? Încercați blocarea adware ascunsă din Windows Defender. Vă arătăm cum să-l porniți în doar câțiva pași.
