Kötü şöhretli Kuzey Koreli tehdit aktörü Lazarus Group’un, popüler açık kaynaklı yazılımlardan ödün vermeyi ve hedef odaklı kimlik avı kampanyaları yürütmeyi içeren son derece karmaşık, hedefli bir kötü amaçlı yazılım saldırısına karıştığı gözlemlendi.
Sonuç olarak, medya, savunma ve havacılık ile BT hizmetleri sektörlerindeki “sayısız” organizasyonu tehlikeye atmayı başardı. (yeni sekmede açılır) Microsoft’tan sonuçlandı.
Şirket, Lazarus’un (veya grubu adlandırdığı şekliyle ZINC), diğer açık kaynaklı uygulamaların yanı sıra casus yazılım yükleyen kötü amaçlı kodlarla PuTTY’yi tehlikeye attığını iddia ediyor. PuTTY, ücretsiz ve açık kaynaklı bir terminal emülatörü, seri konsol ve ağ dosya aktarım uygulamasıdır.
ZetaNile Kurulumu
Ancak açık kaynaklı yazılımdan taviz vermek, hedef kuruluşun uç noktalarına girişi garanti etmez – insanların yine de yazılımı indirmesi ve çalıştırması gerekir. İşte tam bu noktada hedef odaklı kimlik avı devreye giriyor. Tehdit aktörleri, LinkedIn’de yüksek düzeyde hedeflenmiş bir sosyal mühendislik saldırısı gerçekleştirerek, hedef şirketlerde çalışan belirli kişilerin uygulamayı indirmesini ve çalıştırmasını sağlıyor. Görünüşe göre, grup üyeleri LinkedIn’deki işe alım görevlilerinin kimliklerini üstleniyor ve insanlara kazançlı iş fırsatları sunuyor.
Uygulama, tespit edilmekten kaçınmak için özel olarak tasarlandı. Yalnızca uygulama belirli bir IP adresine bağlandığında ve özel bir oturum açma kimlik bilgileri seti kullanarak oturum açtığında, uygulama ZetaNile casusluk kötü amaçlı yazılımını başlatır.
PuTTY’nin yanı sıra Lazarus, KiTTY, TightVNC, Sumatra PDF Reader ve muPDF/Subliminal Recording’den ödün vermeyi başardı.
Microsoft Güvenlik Tehdit İstihbaratı ve LinkedIn Tehdit Önleme ve Savunma ekiplerinin üyeleri bir gönderide, “Aktörler, Haziran 2022’den bu yana çok sayıda kuruluşu başarıyla tehlikeye attı” dedi. “ZINC’in bu kampanyada kullandığı platformların ve yazılımların geniş kullanımı nedeniyle, ZINC, birden fazla sektör ve bölgede bireyler ve kuruluşlar için önemli bir tehdit oluşturabilir.”
Lazarus, sahte iş teklifi saldırılarına yabancı değil. Ne de olsa grup, Crypto.com veya Coinbase gibi şirketler için işe alım görevlisi gibi davranarak kripto geliştiricileri ve sanatçıları için aynı şeyi yapıyor.