„Lazarus“ įsilaužėliai taikosi į gynybos pramonę pateikdami netikrus „Lockheed Martin“ darbo pasiūlymus

„Lazarus“ buvo susietas su nauja kampanija, puolančią viltis ieškančius darbo gynybos pramonėje.

The pažengusi nuolatinė grėsmė (APT) grupė apsimetinėja Lockheed Martin paskutinėje operacijoje. Merilando valstijoje įsikūrusi bendrovė Bethesda užsiima aeronautika, karinėmis technologijomis, misijų sistemomis ir kosmoso tyrinėjimais.

2020 m. „Lockheed Martin“ pardavimai siekė 65,4 mlrd. USD, o visame pasaulyje dirba apie 114 000 darbuotojų.

Lazarus yra valstybės remiama įsilaužimo grupė ryšių su Šiaurės Korėja. Vaisinga ir sudėtinga grupė paprastai yra finansiškai motyvuota ir manoma, kad už ją atsakinga rimtų išpuolių praeityje, pradedant „WannaCry“ išpirkos programinės įrangos protrūkiu, taip pat 80 mln.

Vasario 8 d. Qualys vyresnysis grėsmių tyrimo inžinierius Akshatas Pradhanas atskleidė

nauja kampanija naudojant „Lockheed Martin“ vardą, kad pultų kandidatus į darbą.

Panašiai kaip ir ankstesnėje veikloje, kuria buvo piktnaudžiaujama Northrop Grumman ir BAE Systems reputacija, Lazarus siunčia tiksliniams sukčiavimo dokumentus, apsimeta, kad siūlo įsidarbinimo galimybes.

Taip pat: „Arid Viper“ įsilaužėliai smogė Palestinai politiniais masalais ir Trojos arklys

Dokumentai, pavadinti Lockheed_Martin_JobOpportunities.docx ir Atlyginimas_Lockheed_Martin_job_opportunities_confidential.doc, yra kenkėjiškų makrokomandų, kurios suaktyvina apvalkalo kodą, kad užgrobtų valdymo srautą, nuskaitytų apgaulės dokumentus ir sukurtų suplanuotas užduotis, kad jos išliktų.

„Living Off the Land Binaries“ (LOLBins) taip pat piktnaudžiaujama, siekiant dar labiau pažeisti tikslinę mašiną. Tačiau, kai kenkėjiški scenarijai pabandė pritraukti papildomą naudingą apkrovą, buvo grąžinta klaida, todėl „Qualys“ negali būti tikras, ką turėjo pasiekti galutinis kenkėjiškų programų paketas.

„Šią kampaniją priskiriame Lazarui, nes labai sutampa makrokomandos turinys, kampanijos srautas ir sukčiavimas mūsų nustatytų variantų temos, taip pat senesni variantai, kuriuos kiti pardavėjai priskyrė Lazarui“, - Pradhanas sako.

Tai ne pirmas kartas, kai Lazarus išnaudoja kandidatus į darbą ar laisvas darbo vietas. F-Secure anksčiau rado sukčiavimo el. laiškų pavyzdžius, pridengtų darbo pasiūlymais, kurie buvo išsiųsti tikslinei kriptovaliutų organizacijai priklausančiam sistemos administratoriui.

Atlikdama susijusius tyrimus, Outpost24 Blueliv kibernetinio saugumo komanda įvardijo Lazarus, Cobalt ir FIN7 kaip labiausiai paplitęs grėsmės grupės, kurios šiandien taikosi į finansų sektorių.

Atnaujinimas 14.11 GMT: pasakojo „Lockheed Martin“ atstovas spaudai ZDNet:

„Nors mes neaptariame konkrečių grėsmių ar atsakymų, turime politiką ir procedūras, skirtas kibernetinėms grėsmėms sumažinti. mūsų verslui, ir mes išliekame tikri savo tvirtų, daugiasluoksnių informacinių sistemų vientisumu ir duomenų saugumu.

Bendrovė taip pat turi dedikuotą sukčiavimo šaltinis savo svetainėje.

Taip pat žr

• Pirštai rodo Lazarus, Cobalt, FIN7 kaip pagrindines įsilaužimo grupes, atakuojančias finansų pramonę
  
• „Lazarus“ įsilaužimo grupė dabar slepia naudingus krovinius BMP vaizdo failuose
  
• „Lazarus“ grupė smogė kriptovaliutų įmonei per „LinkedIn“ darbo skelbimus
  

---

Turite patarimą? Saugiai susisiekite per WhatsApp | Signalas +447713 025 499 arba per Keybase: charlie0

---