Microsoft: Хакерите използват софтуер с отворен код и фалшиви работни места при фишинг атаки

Microsoft предупреждава, че хакерите използват софтуер с отворен код и фалшиви акаунти в социалните медии, за да измамват софтуерни инженери и персонал за ИТ поддръжка с фалшиви оферти за работа, които в действителност водят до зловреден софтуер атаки.

Щастлив за фишинг хакерски екип, свързан с въоръжените сили на Северна Корея, използва троянизирани приложения с отворен код и LinkedIn примамка за набиране на персонал, която да удари служителите в технологичната индустрия, според анализатори на заплахи от Advanced Persistent Threat (APT) на Microsoft изследователска група.

Microsoft Threat Intelligence Center (MSTIC, произнася се „Mystic“) е видял групата да използва PuTTY, KiTTY, TightVNC, Sumatra PDF Reader и програмата за инсталиране на софтуера muPDF/Subliminal Recording за тези атаки от късно Април, според публикацията в блога на MSTIC.

Също: Страшното бъдеще на интернет: Как технологиите на утрешния ден ще представляват още по-големи заплахи за киберсигурността

Хакерската група е атакувала служители в медиите, отбраната и космическите услуги, както и ИТ услуги в САЩ, Великобритания, Индия и Русия. Групата също беше зад масова атака срещу Sony Pictures Entertainment през 2014 г.

Също известен като Лазаров ден, и проследяван от Microsoft като ZINC, анализатори на заплахи Mandiant на Google Cloud видя групата цели за фишинг в технологичния и медийния сектор с фалшиви оферти за работа през юли, използвайки WhatsApp за споделяне на троянизирано копие на PuTTY.

„Изследователите на Microsoft са наблюдавали фишинг като основна тактика на актьорите от ZINC, но също така са били наблюдава използването на стратегически компромиси в уебсайтове и социално инженерство в социалните медии за постигане на техните цели," Бележки на MSTIC.

„ZINC се насочва към служители на компании, в които се опитва да проникне, и се стреми да ги принуди лица да инсталират привидно безобидни програми или да отварят въоръжени документи, които съдържат злонамерени макроси. Извършени са и целенасочени атаки срещу изследователите по сигурността през Twitter и LinkedIn."

Групата се занимава с шпионаж, кражба на данни, хакване на крипто борси и банкови системи и разрушаване на мрежи. Проследява се също като Labyrinth Chollima и Black Artemis.

Екип по сигурността в LinkedIn, собственост на Microsoft, също видя тези актьори да създават фалшиви профили, за да се представят за вербовчици от компании в секторите на технологиите, отбраната и медийното развлечение.

Също: Белият дом предупреждава: Направете тези 8 неща сега, за да подобрите сигурността си преди потенциални руски кибератаки

Целите са били насочени от LinkedIn към WhatsApp за споделяне на злонамерен софтуер и са включвали служители в ИТ и ИТ поддръжка в компании в САЩ, Обединеното кралство и Индия, според Microsoft. Групата за анализ на заплахи (TAG) на Google откри групата с помощта на Twitter, Discord, YouTube, Telegram, Keybase и имейл с подобна тактика миналия януари.

американските власти предупредиха американски и европейски фирми да се пазят от ИТ изпълнители, кандидатстващи за поддръжка и роли на разработчици миналата година.

Екипът на LinkedIn за предотвратяване на заплахи и защита прекрати фалшивите акаунти.

„ZINC е насочен основно към инженери и специалисти по техническа поддръжка, работещи в компании за медии и информационни технологии, разположени в Обединеното кралство, Индия и САЩ“, предупреди MSTIC.

„Целите получиха обхват, съобразен с тяхната професия или опит и бяха насърчени да кандидатстват за свободна позиция в една от няколко легитимни компании. В съответствие с техните политики, за акаунти, идентифицирани при тези атаки, LinkedIn бързо прекрати всички акаунти, свързани с неавтентично или измамно поведение."