Der berüchtigte nordkoreanische Bedrohungsakteur Lazarus Group wurde bei einem hochentwickelten gezielten Malware-Angriff beobachtet, bei dem beliebte Open-Source-Software kompromittiert und Spear-Phishing-Kampagnen durchgeführt werden.
Infolgedessen hat es erfolgreich „zahlreiche“ Organisationen in den Medien-, Verteidigungs- und Luft- und Raumfahrt- sowie IT-Dienstleistungsbranchen engagiert, so ein Microsoft-Bericht (öffnet sich in einem neuen Tab).
Das Unternehmen behauptet, dass Lazarus (oder ZINC, wie es die Gruppe nennt) PuTTY, neben anderen Open-Source-Anwendungen, mit bösartigem Code kompromittiert hat, der Spyware installiert. PuTTY ist ein kostenloser Open-Source-Terminalemulator, eine serielle Konsole und eine Anwendung zur Übertragung von Netzwerkdateien.
Zeta-Nil-Anlage
Aber die bloße Kompromittierung von Open-Source-Software garantiert noch keinen Zugriff auf die Endpunkte der Zielorganisation – die Leute müssen die Software immer noch herunterladen und ausführen. Hier kommt die Harpune ins Spiel. Durch das Starten eines hochgradig gezielten Social-Engineering-Angriffs auf LinkedIn zwingen Angreifer bestimmte Personen, die in den Zielunternehmen arbeiten, dazu, die App herunterzuladen und auszuführen. Anscheinend nehmen Mitglieder der Gruppe die Identität von Personalvermittlern auf LinkedIn an und bieten Menschen lukrative Jobmöglichkeiten.
Die App wurde speziell entwickelt, um eine Erkennung zu vermeiden. Nur wenn sich die App mit einer bestimmten IP-Adresse verbindet und sich mit einem speziellen Satz von Anmeldeinformationen anmeldet, startet die App die ZetaNile-Spyware-Malware.
Zusätzlich zu PuTTY gelang es Lazarus, KiTTY, TightVNC, Sumatra PDF Reader und muPDF/Subliminal Recording zu kompromittieren.
„Die Akteure haben seit Juni 2022 zahlreiche Organisationen erfolgreich kompromittiert“, schrieben Mitglieder der Teams Microsoft Security Threat Intelligence und LinkedIn Threat Prevention and Defense in einem Beitrag. "Aufgrund der weit verbreiteten Nutzung der Plattformen und Software, die ZINC in dieser Kampagne verwendet, könnte ZINC eine erhebliche Bedrohung für Einzelpersonen und Organisationen in mehreren Branchen und Regionen darstellen."
Lazarus sind gefälschte Jobangebote nicht fremd. Schließlich hat die Gruppe das Gleiche mit Entwicklern und Künstlern von Kryptowährungen getan und sich als Anwerber für Crypto.com oder Coinbase ausgegeben.
