อาชญากรไซเบอร์มุ่งเป้าไปที่ผู้หางานในสหรัฐอเมริกาและนิวซีแลนด์เพื่อแจกจ่ายบีคอน Cobalt Strike แต่ยังรวมถึงไวรัสและมัลแวร์อื่นๆ ด้วย (เปิดในแท็บใหม่)
นักวิจัยของ Cisco Talos อ้างว่าผู้ก่อภัยคุกคามที่ไม่รู้จักกำลังส่งอีเมลหลอกล่อแบบฟิชชิ่งหลายฉบับ โดยสมมติว่าเป็นข้อมูลประจำตัว (เปิดในแท็บใหม่) ของสำนักงานบริหารงานบุคคลของสหรัฐฯ (OPM) รวมถึงสมาคมบริการสาธารณะแห่งนิวซีแลนด์ (PSA) . ).
อีเมลดังกล่าวขอให้เหยื่อดาวน์โหลดและเรียกใช้เอกสาร Word ที่แนบมา โดยอ้างว่ามีรายละเอียดเพิ่มเติมเกี่ยวกับโอกาสในการทำงาน
การเรียกใช้รหัสระยะไกล
เอกสารประกอบด้วยมาโครที่หากดำเนินการจะใช้ประโยชน์จากช่องโหว่ที่เรียกว่า CVE-2017-0199 ซึ่งเป็นข้อบกพร่องในการเรียกใช้โค้ดจากระยะไกลที่ได้รับแพตช์ในเดือนเมษายน 2017 การเรียกใช้แมโครทำให้ Word ดาวน์โหลดเทมเพลตเอกสารจากพื้นที่เก็บข้อมูล จาก Bitbucket จากนั้นโมเดลจะเรียกใช้ชุดสคริปต์ Visual Basic ซึ่งจะดาวน์โหลดไฟล์ DLL ชื่อ "newmodeler.dll" DLL นี้จริงๆ แล้วเป็นบีคอน Cobalt Strike
นอกจากนี้ยังมีวิธีการเผยแพร่อีกวิธีหนึ่งที่ซับซ้อนน้อยกว่า โดยได้รับตัวดาวน์โหลดมัลแวร์โดยตรงจาก Bitbucket
ด้วยความช่วยเหลือของ Cobalt Strike beacon ผู้คุกคามสามารถดำเนินการคำสั่งต่างๆ จากระยะไกลบนจุดสิ้นสุดที่ถูกบุกรุก ขโมยข้อมูลและย้ายไปยังด้านข้างผ่านเครือข่าย ทำแผนที่และค้นหาข้อมูลที่ละเอียดอ่อนมากขึ้น
นักวิจัยกล่าวว่าบีคอนสื่อสารกับเซิร์ฟเวอร์ Ubuntu ซึ่งโฮสต์โดยอาลีบาบาและตั้งอยู่ในเนเธอร์แลนด์ ประกอบด้วยใบรับรอง SSL ที่ลงนามด้วยตนเองที่ถูกต้องสองใบ
Cisco ไม่ได้ระบุชื่อผู้คุกคามที่อยู่เบื้องหลังแคมเปญนี้ แต่มีชื่อที่โดดเด่นคนหนึ่งที่เกี่ยวข้องกับแคมเปญปลอมงานจำนวนมากเมื่อเร็วๆ นี้ และนั่นคือ Lazarus Group
นักคุกคามที่น่าอับอายที่ได้รับการสนับสนุนจากรัฐในเกาหลีเหนือมีเป้าหมายที่นักพัฒนาบล็อกเชน ศิลปินที่ทำงานเกี่ยวกับโทเค็นที่ไม่สามารถเปลี่ยนได้ (NFTs) ตลอดจนผู้เชี่ยวชาญด้านการบินและอวกาศและนักข่าวการเมืองที่มีงานปลอม ขโมยสกุลเงินดิจิตอลและข้อมูลที่มีค่า
ผ่าน: BleepingComputer (เปิดในแท็บใหม่)