Программное обеспечение с открытым исходным кодом взломано северокорейскими хакерами

1 октября 2022 г.

Печально известная северокорейская киберугроза Lazarus Group была замечена причастной к высокосложной целенаправленной атаке вредоносных программ. это включает в себя компрометацию популярного программного обеспечения с открытым исходным кодом и проведение целевых фишинговых кампаний.

В результате ему удалось скомпрометировать «многочисленные» организации в сфере средств массовой информации, обороны и аэрокосмической отрасли, а также в сфере ИТ-услуг, отчет от Microsoft завершен.

Компания утверждает, что Lazarus (или ZINC, как она называет группу) скомпрометировал PuTTY, среди других приложений с открытым исходным кодом, с помощью вредоносного кода, который устанавливает шпионское ПО. PuTTY — это бесплатный эмулятор терминала с открытым исходным кодом, последовательная консоль и приложение для передачи файлов по сети.

Установка ZetaNile

Однако компрометация программного обеспечения с открытым исходным кодом не гарантирует доступ к конечным точкам целевой организации. - людям по-прежнему нужно скачивать и запускать программное обеспечение. Вот тут-то и появляется целевой фишинг. Участвуя в целенаправленной атаке социальной инженерии на LinkedIn, злоумышленники заставляют определенных лиц, работающих в целевых компаниях, загрузить и запустить приложение. Судя по всему, члены группы выдают себя за лица рекрутеров в LinkedIn, предлагая людям выгодные возможности трудоустройства.< /p>

Приложение было специально разработано таким образом, чтобы его не могли обнаружить. Только когда приложение подключается к определенному IP-адресу и входит в систему, используя специальный набор учетных данных для входа, приложение инициирует шпионское вредоносное ПО ZetaNile.

Помимо PuTTY, Lazarus удалось скомпрометировать KiTTY, TightVNC, Sumatra PDF Reader и muPDF/Subliminal Recording.

«С июня 2022 года злоумышленники успешно взломали множество организаций», – написали в своем сообщении члены групп Microsoft Security Threat Intelligence и LinkedIn Threat Prevention and Defense. «Из-за широкого использования платформ и программного обеспечения, которые ZINC использует в этой кампании, ZINC может представлять серьезную угрозу для отдельных лиц и организаций в различных секторах и регионах».

Lazarus не привыкать к поддельным предложениям о работе. атаки. В конце концов, группа делала то же самое для разработчиков криптовалют и художников, притворяясь рекрутерами для таких компаний, как Crypto.com или Coinbase.

• Вот лучшие брандмауэры прямо сейчас

---

Оригинал