Lazarus Group ซึ่งเป็นผู้คุกคามที่น่าอับอายของเกาหลีเหนือ ถูกพบว่ามีส่วนร่วมในการโจมตีมัลแวร์เป้าหมายที่ซับซ้อนสูง ซึ่งเกี่ยวข้องกับซอฟต์แวร์โอเพ่นซอร์สที่ได้รับความนิยมและเรียกใช้แคมเปญฟิชชิ่งสเปียร์
เป็นผลให้ประสบความสำเร็จในการบุกรุกองค์กร "จำนวนมาก" ในอุตสาหกรรมสื่อ การป้องกันประเทศ และการบินและอวกาศ ตลอดจนในอุตสาหกรรมบริการด้านไอที รายงานของ Microsoft สรุป (เปิดในแท็บใหม่)
บริษัทอ้างว่า Lazarus (หรือ ZINC ที่เรียกว่ากลุ่ม) โจมตี PuTTY ท่ามกลางแอปพลิเคชันโอเพ่นซอร์สอื่นๆ ด้วยโค้ดอันตรายที่ติดตั้งสปายแวร์ PuTTY เป็นโปรแกรมจำลองเทอร์มินัลโอเพ่นซอร์สฟรี คอนโซลซีเรียล และแอปพลิเคชั่นถ่ายโอนไฟล์เครือข่าย
Zeta Nile สิ่งอำนวยความสะดวก
แต่การประนีประนอมซอฟต์แวร์โอเพนซอร์สไม่ได้รับประกันการเข้าถึงปลายทางขององค์กรเป้าหมาย—ผู้คนยังคงต้องดาวน์โหลดและเรียกใช้ซอฟต์แวร์ นี่คือที่ที่ฉมวกเข้ามา ด้วยการเปิดตัวการโจมตีทางวิศวกรรมสังคมที่กำหนดเป้าหมายอย่างสูงบน LinkedIn ผู้คุกคามจะบังคับให้บางคนที่ทำงานในบริษัทเป้าหมายดาวน์โหลดและเรียกใช้แอพ เห็นได้ชัดว่าสมาชิกของกลุ่มใช้ข้อมูลประจำตัวของนายหน้าใน LinkedIn ซึ่งให้โอกาสในการทำงานที่ร่ำรวยแก่ผู้คน
แอพได้รับการออกแบบมาเป็นพิเศษเพื่อหลีกเลี่ยงการตรวจจับ เฉพาะเมื่อแอปเชื่อมต่อกับที่อยู่ IP เฉพาะและลงชื่อเข้าใช้ด้วยชุดข้อมูลรับรองการเข้าสู่ระบบพิเศษ แอปจะเปิดใช้มัลแวร์สปายแวร์ ZetaNile
นอกจาก PuTTY แล้ว Lazarus ยังสามารถประนีประนอม KiTTY, TightVNC, Sumatra PDF Reader และ muPDF/Subliminal Recording
"ผู้กระทำการประสบความสำเร็จในการบุกรุกองค์กรจำนวนมากตั้งแต่เดือนมิถุนายน 2022" สมาชิกของ Microsoft Security Threat Intelligence และ LinkedIn Threat Prevention and Defense team เขียนในโพสต์ "เนื่องจากมีการใช้แพลตฟอร์มและซอฟต์แวร์ ZINC อย่างแพร่หลายในแคมเปญนี้ ZINC อาจเป็นภัยคุกคามที่สำคัญต่อบุคคลและองค์กรในหลายอุตสาหกรรมและภูมิภาค"
ลาซารัสไม่ใช่คนแปลกหน้าสำหรับข้อเสนองานปลอม ท้ายที่สุด กลุ่มได้ทำสิ่งเดียวกันกับนักพัฒนาและศิลปิน cryptocurrency โดยวางตัวเป็นผู้จัดหา Crypto.com หรือ Coinbase