微软表示,朝鲜赞助的 Lazarus 威胁组织正在对合法的开源软件进行木马化,并将其用于技术、国防和媒体娱乐等许多行业的后门组织。
Lazarus 州黑客武器化的用于部署 BLINDINGCAN(又名 ZetaNile)后门的开源软件列表包括 PuTTY、KiTTY、TightVNC、Sumatra PDF Reader 和 muPDF/Subliminal Recording 软件安装程序。
据 Mandiant本月报道, PuTTY 和 KiTTY SSH 客户端还被用于在虚假工作技能评估中为目标设备安装后门。
该木马化软件在 2022 年 4 月下旬至 9 月中旬用于社会工程攻击,主要针对在英国、印度和美国的 IT 和媒体组织工作的工程师和技术支持专业人员
攻击者创建了“声称是在技术、国防和媒体娱乐公司工作的招聘人员的虚假个人资料,其目标是将目标从 LinkedIn 转移到加密消息应用程序 WhatsApp 以传递恶意软件,”微软表示。
“目标获得了针对他们的专业或背景量身定制的外展服务,并被鼓励申请几家合法公司之一的空缺职位。”
在目标被诱骗下载武器化软件以在其系统上部署恶意软件后,Lazarus 运营商使用后门进行横向移动和网络发现,最终目标是窃取敏感信息。
Mandiant 在其报告中表示,该组织的最新活动似乎是“梦想工作行动”的延续,这是一项朝鲜网络间谍活动,自 2020 年 6 月以来一直活跃,当时它通过虚假工作机会从美国著名的国防和航空航天公司引诱目标。
Lazarus Group (也被称为 ZINC、Labyrinth Chollima 和 Black Artemis)是至少自 2009 年以来活跃的朝鲜军事黑客组织。
它因在Blockbuster 行动中入侵 Sony Films、全球多家银行以及协调 2017 年全球WannaCry勒索软件活动而声名狼藉。
最近,Lazarus在 1 月份和 3 月份的一次类似活动中使用精心制作的虚假“安全研究员”社交媒体角色针对社会工程攻击中的安全研究人员。
他们还在针对十几个国家的国防工业的大规模网络间谍活动中使用了 ThreatNeedle 后门。
美国政府于 2019 年 9 月制裁了三个由朝鲜赞助的黑客组织(Lazarus、Bluenoroff 和 Andariel),现在悬赏高达 500 万美元,以获取有关朝鲜黑客网络活动的信息。
