Цього разу мішенню зловмисників із КНДР стала іспанська аерокосмічна фірма.
Нова кібератака північнокорейських хакерів, спрямована на неназвану іспанську аерокосмічну фірму, є частиною тривалої фішингової кампанії «Операція «Робота мрії». Співробітників тих фірм та підприємств, що становлять стратегічний інтерес для зловмисників, спокушають прибутковою роботою для активації ланцюжка зараження.
Фальшивий вербувальник зв’язався зі співробітниками цільової компанії через LinkedIn і обманом змусив їх відкрити фальшивий виконуваний файл, що був тестовим завданням з програмування.
Фахівець з кібербезпеки Пітер Калнаї
Кінцевою метою останнього вторгнення, розробленого для систем Windows, є встановлення імплантату під кодовою назвою LightlessCan – багатофункціонального шкідливого ПЗ, здатного збирати конфіденційну інформацію із заражених хостів.
Процес почався з повідомлення в LinkedIn від фальшивого рекрутера, що працював на Meta Platforms. Він надіслав жертві дві задачі на кодування в межах процесу найму, і переконав її відкрити тестові файли (Quiz1.iso та Quiz2. iso), розміщені у хмарному сховищі сторонніх розробників. Жертва завантажила та відкрила файли на пристрої компанії, що призвело до компрометації системи та порушення корпоративної мережі.
Ця атака відкрила шлях для HTTP(S)-завантажувача NickelLoader, який дозволяє розгортати будь-яку бажану програму в пам’яті комп’ютера жертви, включно з трояном віддаленого доступу LightlessCan і варіантом BLINDINGCAN, який називається miniBlindingCan (також AIRDRY.V2).
Примітною рисою кампанії «Робота мрії» є використання засобів захисту для того, щоб запобігти розшифровці корисних даних і їхньому запуску на будь-якому іншому пристрої, окрім власне жертви.
Останніми місяцями Lazarus Group та інші кластери загроз із КНДР діяли плідно і активно. Кібератак зазнали галузі виробництва й нерухомості в Індії, телекомунікаційні компанії Болгарії та Пакистану, а також урядові, дослідницькі та оборонні підрядники з Японії, Європи та США.
