Der berüchtigte nordkoreanische Bedrohungsakteur Lazarus Group wurde bei einem hochentwickelten, gezielten Malware-Angriff beobachtet, bei dem beliebte Open-Source-Software kompromittiert und Spear-Phishing-Kampagnen durchgeführt werden.
Infolgedessen ist es ihm gelungen, „zahlreiche“ Organisationen in den Medien, der Verteidigung und der Luft- und Raumfahrt sowie in der IT-Dienstleistungsbranche zu kompromittieren, so ein Bericht (öffnet in neuem Tab) von Microsoft abgeschlossen ist.
Das Unternehmen behauptet, dass Lazarus (oder ZINC, wie es die Gruppe nennt) PuTTY und andere Open-Source-Anwendungen mit bösartigem Code kompromittiert hat, der Spyware installiert. PuTTY ist ein kostenloser Open-Source-Terminalemulator, eine serielle Konsole und eine Netzwerkdateiübertragungsanwendung.
ZetaNile installieren
Aber die bloße Kompromittierung von Open-Source-Software garantiert noch keinen Zugang zu den Endpunkten der Zielorganisation – die Leute müssen die Software immer noch herunterladen und ausführen. Hier kommt Spear-Phishing ins Spiel. Durch einen gezielten Social-Engineering-Angriff auf LinkedIn bringen die Angreifer bestimmte Personen, die bei Zielunternehmen arbeiten, dazu, die App herunterzuladen und auszuführen. Anscheinend nehmen die Mitglieder der Gruppe die Identitäten von Personalvermittlern auf LinkedIn an und bieten den Leuten lukrative Jobmöglichkeiten.
Die App wurde speziell darauf zugeschnitten, nicht entdeckt zu werden. Nur wenn sich die App mit einer bestimmten IP-Adresse verbindet und sich mit einem speziellen Satz von Anmeldeinformationen anmeldet, initiiert die App die ZetaNile-Spionage-Malware.
Neben PuTTY gelang es Lazarus, KiTTY, TightVNC, Sumatra PDF Reader und muPDF/Subliminal Recording zu kompromittieren.
„Die Akteure haben seit Juni 2022 zahlreiche Organisationen erfolgreich kompromittiert“, schrieben Mitglieder der Teams Microsoft Security Threat Intelligence und LinkedIn Threat Prevention and Defense in einem Beitrag. “Aufgrund der breiten Nutzung der Plattformen und Software, die ZINC in dieser Kampagne verwendet, könnte ZINC eine erhebliche Bedrohung für Einzelpersonen und Organisationen in mehreren Sektoren und Regionen darstellen.”
Angriffe auf gefälschte Stellenangebote sind Lazarus nicht fremd. Schließlich hat die Gruppe dasselbe für Krypto-Entwickler und Künstler getan, indem sie vorgab, Personalvermittler für Krypto.com oder Coinbase zu sein.