Kuzey Koreli gelişmiş kalıcı tehdit (APT) grubu Lazarus (namı diğer UNC290), geçen Haziran ayından bu yana LinkedIn aracılığıyla bir kimlik avı kampanyasıyla güvenlik araştırmacılarını hedefliyor.
Mandiant, kimlik avı saldırılarının ABD merkezli bir teknoloji şirketine karşı başladığını bildirdi ve tehdit aktörlerinin faaliyetlerinde Touchmove, Sideshow ve Touchshift olmak üzere üç yeni kod ailesini kullandıklarına dikkat çekti.
Mandiant, LinkedIn’de işe alım görevlisi kılığına giren grubun kurbanın güvenini kazanmaya çalıştığını ve daha sonra onları kötü amaçlı yazılım damlatıcı gönderebilecekleri WhatsApp veya e-posta yoluyla katılmaya ikna ettiğini açıkladı.
“Bu kampanyanın tanımlanmasının ardından, Mandiant, ABD ve Avrupa medya kuruluşlarını hedef alan çoklu UNC2970 izinsiz girişlerine, işe alım teması kullanan ve grupların bulut ortamlarında ve uç nokta algılama ve yanıt (EDR) araçlarına karşı çalışma becerisinde ilerlemeler gösteren hedefli kimlik avı yoluyla yanıt verdi.” ortaya çıkan kimlik avı kampanyası.