Lazarus Group ซึ่งเป็นผู้คุกคามที่น่าอับอายของเกาหลีเหนือ ถูกพบว่ามีส่วนร่วมในการโจมตีมัลแวร์เป้าหมายที่ซับซ้อนสูง ซึ่งเกี่ยวข้องกับซอฟต์แวร์โอเพ่นซอร์สที่ได้รับความนิยมและเรียกใช้แคมเปญฟิชชิ่งสเปียร์

ด้วยเหตุนี้ บริษัทจึงประสบความสำเร็จในการมีส่วนร่วมกับองค์กร "จำนวนมาก" ในสื่อ การป้องกันประเทศ และการบินและอวกาศ ตลอดจนอุตสาหกรรมบริการด้านไอที รายงานของ Microsoft (เปิดในแท็บใหม่) สรุป

บริษัทอ้างว่า Lazarus (หรือ ZINC ที่เรียกว่ากลุ่ม) โจมตี PuTTY ท่ามกลางแอปพลิเคชันโอเพ่นซอร์สอื่นๆ ด้วยโค้ดอันตรายที่ติดตั้งสปายแวร์ PuTTY เป็นโปรแกรมจำลองเทอร์มินัลโอเพ่นซอร์สฟรี คอนโซลซีเรียล และแอปพลิเคชั่นถ่ายโอนไฟล์เครือข่าย

Zeta Nile สิ่งอำนวยความสะดวก

แต่การประนีประนอมซอฟต์แวร์โอเพนซอร์สไม่ได้รับประกันการเข้าถึงปลายทางขององค์กรเป้าหมาย—ผู้คนยังคงต้องดาวน์โหลดและเรียกใช้ซอฟต์แวร์ นี่คือที่ที่ฉมวกเข้ามา ด้วยการเปิดตัวการโจมตีทางวิศวกรรมสังคมที่กำหนดเป้าหมายอย่างสูงบน LinkedIn ผู้คุกคามจะบังคับให้บางคนที่ทำงานในบริษัทเป้าหมายดาวน์โหลดและเรียกใช้แอพ เห็นได้ชัดว่าสมาชิกของกลุ่มใช้ข้อมูลประจำตัวของนายหน้าใน LinkedIn ซึ่งให้โอกาสในการทำงานที่ร่ำรวยแก่ผู้คน

แอพได้รับการออกแบบมาเป็นพิเศษเพื่อหลีกเลี่ยงการตรวจจับ เฉพาะเมื่อแอปเชื่อมต่อกับที่อยู่ IP เฉพาะและลงชื่อเข้าใช้ด้วยชุดข้อมูลรับรองการเข้าสู่ระบบพิเศษ แอปจะเปิดใช้มัลแวร์สปายแวร์ ZetaNile

นอกจาก PuTTY แล้ว Lazarus ยังสามารถประนีประนอม KiTTY, TightVNC, Sumatra PDF Reader และ muPDF/Subliminal Recording

“นักแสดงได้ประสบความสำเร็จในการโจมตีหลายองค์กรตั้งแต่เดือนมิถุนายน 2022” สมาชิกของ Microsoft Security Threat Intelligence และทีม LinkedIn Threat Prevention and Defense เขียนไว้ในโพสต์ "เนื่องจากการใช้แพลตฟอร์มและซอฟต์แวร์อย่างแพร่หลายที่ ZINC ใช้ในแคมเปญนี้ ZINC อาจเป็นภัยคุกคามที่สำคัญต่อบุคคลและองค์กรในหลายอุตสาหกรรมและภูมิภาค"

ลาซารัสไม่ใช่คนแปลกหน้าสำหรับข้อเสนองานปลอม ท้ายที่สุด กลุ่มได้ทำสิ่งเดียวกันกับนักพัฒนาและศิลปิน cryptocurrency โดยวางตัวเป็นผู้จัดหา Crypto.com หรือ Coinbase