Η Microsoft λέει ότι η ομάδα απειλών Lazarus που υποστηρίζεται από τη Βόρεια Κορέα τρωανοποιεί το νόμιμο λογισμικό ανοιχτού κώδικα και το χρησιμοποιεί για να παραθέσει οργανισμούς σε πολλούς κλάδους της βιομηχανίας, όπως η τεχνολογία, η άμυνα και η ψυχαγωγία μέσων.
Η λίστα του λογισμικού ανοιχτού κώδικα που χρησιμοποιήθηκε από κρατικούς χάκερ Lazarus για την ανάπτυξη του BLINDINGCAN (γνωστός και ως ZetaNile) backdoor περιλαμβάνει PuTTY, KiTTY, TightVNC, Sumatra PDF Reader και το πρόγραμμα εγκατάστασης λογισμικού muPDF/Subliminal Recording.
Οι πελάτες PuTTY και KiTTY SSH χρησιμοποιήθηκαν επίσης για την παραμόρφωση συσκευών στόχων σε ψεύτικες αξιολογήσεις δεξιοτήτων εργασίας, όπως αναφέρθηκε από τη Mandiant αυτόν τον μήνα.
Αυτό το trojanized λογισμικό χρησιμοποιήθηκε σε επιθέσεις κοινωνικής μηχανικής από τα τέλη Απριλίου έως τα μέσα Σεπτεμβρίου 2022 και επικεντρώθηκε κυρίως σε μηχανικούς και επαγγελματίες τεχνικής υποστήριξης που εργάζονται σε οργανισμούς πληροφορικής και μέσων ενημέρωσης στο Ηνωμένο Βασίλειο, την Ινδία και τις ΗΠΑ.
Οι εισβολείς δημιούργησαν «ψεύτικα προφίλ που ισχυρίζονται ότι recruiters που εργάζονται σε εταιρείες τεχνολογίας, άμυνας και ψυχαγωγίας μέσων, με στόχο τη μετακίνηση στόχων μακριά από το LinkedIn και στην εφαρμογή κρυπτογραφημένων μηνυμάτων WhatsApp για την παράδοση κακόβουλου λογισμικού», δήλωσε η Microsoft .
“Οι στόχοι έλαβαν προσέγγιση προσαρμοσμένη στο επάγγελμα ή το υπόβαθρό τους και ενθαρρύνθηκαν να υποβάλουν αίτηση για μια ανοιχτή θέση σε μία από πολλές νόμιμες εταιρείες.”
Αφού οι στόχοι εξαπατήθηκαν για να κατεβάσουν το οπλισμένο λογισμικό για να αναπτύξουν το κακόβουλο λογισμικό στα συστήματά τους, οι χειριστές του Lazarus χρησιμοποίησαν την κερκόπορτα για πλευρική κίνηση και ανακάλυψη δικτύου, με τελικό στόχο την κλοπή ευαίσθητων πληροφοριών.