Найти новую работу сложно, и еще сложнее найти ту, которая соответствует вашим навыкам, вашим амбициям и вашему режиму работы. Если вы работаете в технологической отрасли, ответив на неправильное объявление о вакансии, вы рискуете своей собственной безопасностью и безопасностью ваших нынешних работодателей из-за взломанных приложений с открытым исходным кодом, содержащих вредоносное ПО ZetaNile. Вот что вам нужно знать
Почему соискатели в опасности?
Спонсируемая государством северокорейская криминальная хакерская группировка Lazarus преследует работников в сфере технологий, обороны и медиа-развлечений. с целевыми фишинговыми атаками через Линкедин.
В соответствии с Центр анализа угроз Майкрософт (MSTIC), преступники, также известные как ZINC, выдают себя за вербовщиков, обращаясь к людям в целевых секторах и побуждая их подавать заявки на открытые вакансии. После, казалось бы, нормального процесса рекрутинга разговоры переносятся с платформы, прежде чем новобранцев просят загрузить и установить популярные приложения с открытым исходным кодом, такие как
SSH-клиент PuTTY, эмулятор терминала KiTTY и средство просмотра TightVNC.Эти инструменты с открытым исходным кодом широко используются в мире технологий и широко доступны в Интернете бесплатно. взимать плату, но версии, предлагаемые Lazarus через WhatsApp, взломаны, чтобы облегчить доставку вредоносное ПО.
Приложения распространяются как часть zip-архив или ISO-файл, и сами по себе не содержат вредоносных программ. Вместо этого исполняемый файл подключается к IP-адресу, указанному в сопроводительном текстовом файле, откуда загружается и устанавливается вредоносное ПО ZetaNile.
Lazarus превращает заявление о приеме на работу в оружие на каждом этапе, включая саму форму заявления — соискателям рекомендуется заполнять форму, используя поддельную версию Sumatra PDF Reader.
Что такое ZetaNile и что он делает?
После извлечения бэкдора из удаленного местоположения создается запланированное задание, гарантирующее постоянство. Затем он копирует законный системный процесс Windows и загружает вредоносные библиотеки DLL перед подключением к домену управления и контроля.
С этого момента вашей машиной управляет реальный человек (к сожалению, это не вы). Они могут идентифицировать контроллеры домена и сетевые подключения, а также открывать документы, делать снимки экрана и эксфильтровать ваши данные. Преступники также могут установить дополнительное вредоносное ПО в целевой системе.
Что делать, если вы подозреваете, что у вас есть вредоносное ПО ZetaNile?
Отдельный соискатель вряд ли знает, что он установил вредоносное ПО в своей корпоративной сети, но MSTIC предоставил несколько полезных инструкций для системных администраторов и групп безопасности, которым осталось собрать все по кусочкам и убрать беспорядок:
- Проверить наличие Amazon-KiTTY.exe, Amazon_IT_Assessment.iso, IT_Assessment.iso, amazon_assessment_test.iso, или SecurePDF.exe на компьютерах.
- Удалить C:\ProgramData\Comms\colorui.dll, и %APPDATA%\KiTTY\mscoree.dll файлы.
- Блокировать сетевой доступ к 172.93.201[.]253, 137.184.15[.]189, и 44.238.74[.]84. Эти IP-адреса жестко закодированы в вредоносном ПО.
- Просмотрите все действия по проверке подлинности для инфраструктуры удаленного доступа.
- Включить многофакторную аутентификацию для всех систем.
- Информируйте пользователей о предотвращении заражения вредоносным ПО, а также о защите личной и деловой информации.
Последний пункт особенно показателен, и афоризм о том, что самым слабым звеном в цепочке обеспечения безопасности является пользователь, верен не просто так. Любую программную проблему или брешь в системе безопасности можно устранить, но трудно помешать человеку, сидящему за клавиатурой, установить сомнительные пакеты, особенно если его соблазняет новая, хорошо оплачиваемая работа.
Пользователям, у которых есть искушение установить сомнительное программное обеспечение на свой рабочий компьютер: просто не делайте этого. Вместо этого попросите ИТ сделать это за вас (они предупредят вас, если что-то не так), или, если вам это абсолютно необходимо, то скачайте из официального источника.
Преступники всегда ищут путь в сети
Корпоративные секреты ценны, и всегда есть люди и группы, которые ищут простой способ завладеть ими. Ориентируясь на ищущих работу, они могут почти гарантировать, что первоначальная жертва не будет вмешиваться в ИТ-отдел — никто не хочет, чтобы его видели подачей заявки на новую работу со своего рабочего компьютера. Если вы используете оборудование своих работодателей, вы должны использовать его только для работы. Отложите поиски работы до возвращения домой.