Nhóm nghiên cứu Mối đe dọa liên tục nâng cao (APT) của Microsoft và Microsoft Threat Intelligence Center (MSTIC) đang cảnh báo người dùng rằng tin tặc đang sử dụng các giải pháp nguồn mở dễ bị tấn công và các tài khoản mạng xã hội giả mạo để xâm nhập vào các tổ chức và cài đặt phần mềm độc hại.
Để lừa nhân viên CNTT và phần mềm, những kẻ đe dọa đang sử dụng tài khoản giả các bài đăng tuyển dụng thu hút mọi người. Theo một số cách, cuộc tấn công tấn công vào khả năng di chuyển việc làm trong lĩnh vực công nghệ và kinh doanh.
Microsoft APT cho biết cuộc tấn công lừa đảo đang được thực hiện bởi một nhóm có liên hệ với quân đội Triều Tiên. Điều đáng chú ý là đây chính là nhóm đứng sau vụ vụ hack Sony Pictures Entertainment khét tiếng năm 2014.
Thêm vào cảnh báo, Microsoft Threat Intelligence Center (MSTIC) cho biết nhóm sử dụng Sumatra PDF Reader, KiTTY, muPDF/Subliminal Recording, TightVNC và PuTTY để mang phần mềm độc hại.
Trong một bài đăng trên blog , MSTIC cho biết các cuộc tấn công này đã diễn ra kể từ đó Tháng 4.
Nhóm này-được biết đến nhiều nhất với cái tên Lazarus nhưng cũng được Microsoft gọi là ZINC-nổi tiếng với các chiến dịch lừa đảo trực tuyến. Ví dụ: phân tích mối đe dọa của Google Cloud Mandiant cũng đã theo dõi các cuộc tấn công như vậy kể từ tháng 7.
“Các nhà nghiên cứu của Microsoft đã quan sát thấy lừa đảo trực tuyến là một chiến thuật chính của các tác nhân ZINC, nhưng chúng cũng đã được quan sát bằng cách sử dụng các thỏa hiệp chiến lược trên trang web và kỹ thuật xã hội trên các phương tiện truyền thông xã hội để đạt được mục tiêu của họ”, MSTIC chỉ ra. .
“ZINC nhắm mục tiêu vào nhân viên của các công ty mà họ đang cố gắng xâm nhập và tìm cách ép buộc những người này cài đặt các chương trình có vẻ lành tính hoặc mở các tài liệu vũ khí hóa có chứa macro độc hại. Các cuộc tấn công có chủ đích cũng đã thực hiện chống lại các nhà nghiên cứu bảo mật qua Twitter và LinkedIn.”
Nhắm mục tiêu Truyền thông xã hội
Các nhóm bảo mật trong LinkedIn của Microsoft đã chứng kiến nhóm này tạo ra sự giả tạo hồ sơ điện tử trên mạng xã hội của doanh nghiệp. Mục tiêu của các hồ sơ này là bắt chước các nhà tuyển dụng doanh nghiệp cho nhiều lĩnh vực khác nhau và giả vờ mời chào việc làm.
Các mục tiêu tương tác với LinkedIn và các mạng khác như WhatsApp mà nhóm sử dụng sẽ bị loại bỏ khỏi các nền tảng đó. Đây là nơi các liên kết được cung cấp được tải với phần mềm độc hại. Cũng như LinkedIn và WhatsApp, nhóm này cũng đã được phát hiện trên YouTube, Discord, Twitter, Telegram và qua email.
Nhóm Phòng chống và Ngăn chặn Đe dọa của LinkedIn cho biết họ đã đóng cửa các tài khoản giả mạo:.
“Các mục tiêu đã nhận được tiếp cận phù hợp với nghề nghiệp hoặc nền tảng của họ và được khuyến khích nộp đơn cho một vị trí mở tại một trong số các công ty hợp pháp. Theo chính sách của họ, đối với các tài khoản được xác định trong các cuộc tấn công này, LinkedIn đã nhanh chóng chấm dứt bất kỳ tài khoản nào có liên quan đến hành vi không xác thực hoặc gian lận.”
Mẹo trong ngày: Gặp sự cố với pop-up và các chương trình không mong muốn trong Windows? Hãy thử trình chặn phần mềm quảng cáo ẩn của Windows Defender. Chúng tôi chỉ cho bạn cách bật nó lên chỉ trong vài bước.