Der berüchtigte nordkoreanische Bedrohungsakteur Lazarus Group wurde bei einem hochentwickelten gezielten Malware-Angriff beobachtet, bei dem beliebte Open-Source-Software kompromittiert und Spear-Phishing-Kampagnen durchgeführt werden.
Infolgedessen wurden „zahlreiche“ Organisationen in der Medien-, Verteidigungs- und Luft- und Raumfahrtindustrie sowie in der IT-Dienstleistungsbranche erfolgreich kompromittiert, heißt es in einem Microsoft-Bericht (öffnet sich in einem neuen Tab).
Das Unternehmen behauptet, dass Lazarus (oder ZINC, wie es die Gruppe nennt) PuTTY, neben anderen Open-Source-Anwendungen, mit bösartigem Code kompromittiert hat, der Spyware installiert. PuTTY ist ein kostenloser Open-Source-Terminalemulator, eine serielle Konsole und eine Anwendung zur Übertragung von Netzwerkdateien.
Zeta-Nil-Anlage
Aber die bloße Kompromittierung von Open-Source-Software garantiert noch keinen Zugriff auf die Endpunkte der Zielorganisation – die Leute müssen die Software immer noch herunterladen und ausführen. Hier kommt die Harpune ins Spiel. Durch das Starten eines hochgradig gezielten Social-Engineering-Angriffs auf LinkedIn zwingen Angreifer bestimmte Personen, die in den Zielunternehmen arbeiten, dazu, die App herunterzuladen und auszuführen. Anscheinend nehmen Mitglieder der Gruppe die Identität von Personalvermittlern auf LinkedIn an und bieten Menschen lukrative Jobmöglichkeiten.
Die App wurde speziell entwickelt, um eine Erkennung zu vermeiden. Nur wenn sich die App mit einer bestimmten IP-Adresse verbindet und sich mit einem speziellen Satz von Anmeldeinformationen anmeldet, startet die App die ZetaNile-Spyware-Malware.
Zusätzlich zu PuTTY gelang es Lazarus, KiTTY, TightVNC, Sumatra PDF Reader und muPDF/Subliminal Recording zu kompromittieren.
„Akteure haben seit Juni 2022 zahlreiche Organisationen erfolgreich kompromittiert“, schrieben Mitglieder der Microsoft Security Threat Intelligence- und LinkedIn Threat Prevention and Defense-Teams in einem Beitrag. „Aufgrund der weit verbreiteten Nutzung der Plattformen und Software, die ZINC in dieser Kampagne verwendet, könnte ZINC eine erhebliche Bedrohung für Einzelpersonen und Organisationen in zahlreichen Branchen und Regionen darstellen.“
Lazarus sind gefälschte Jobangebote nicht fremd. Schließlich hat die Gruppe das Gleiche mit Entwicklern und Künstlern von Kryptowährungen getan und sich als Anwerber für Crypto.com oder Coinbase ausgegeben.