Le tristement célèbre acteur nord-coréen de la menace, Lazarus Group, a été observé en train de se livrer à une attaque de malware ciblée très sophistiquée qui implique de compromettre des logiciels open source populaires et de mener des campagnes de spear phishing.
En conséquence, il a réussi à compromettre "de nombreuses" organisations dans les secteurs des médias, de la défense et de l'aérospatiale, ainsi que dans les industries des services informatiques, a conclu un rapport de Microsoft (ouvre dans un nouvel onglet).
La société affirme que Lazarus (ou ZINC, comme il appelle le groupe) a compromis PuTTY, parmi d'autres applications open source, avec un code malveillant qui installe des logiciels espions. PuTTY est un émulateur de terminal gratuit et open source, une console série et une application de transfert de fichiers réseau.
Installation Zeta Nile
Mais le simple fait de compromettre un logiciel open source ne garantit pas l'accès aux terminaux de l'organisation cible : les utilisateurs doivent toujours télécharger et exécuter le logiciel. C'est là qu'intervient le harpon. En lançant une attaque d'ingénierie sociale très ciblée sur LinkedIn, les pirates obligent certaines personnes qui travaillent dans des entreprises ciblées à télécharger et à exécuter l'application. Apparemment, les membres du groupe assument l'identité de recruteurs sur LinkedIn, offrant aux gens des opportunités d'emploi lucratives.
L'application a été spécialement conçue pour éviter la détection. Ce n'est que lorsque l'application se connecte à une adresse IP spécifique et se connecte avec un ensemble spécial d'informations d'identification de connexion que l'application lance le logiciel malveillant ZetaNile.
En plus de PuTTY, Lazarus a réussi à compromettre KiTTY, TightVNC, Sumatra PDF Reader et muPDF/Subliminal Recording.
«Des acteurs ont réussi à compromettre de nombreuses organisations depuis juin 2022», ont écrit des membres des équipes Microsoft Security Threat Intelligence et LinkedIn Threat Prevention and Defense dans un article. "En raison de l'utilisation généralisée des plates-formes et des logiciels que ZINC utilise dans cette campagne, ZINC pourrait constituer une menace importante pour les individus et les organisations dans plusieurs secteurs et régions."
Lazarus n'est pas étranger aux fausses offres d'emploi. Après tout, le groupe a fait la même chose aux développeurs et artistes de crypto-monnaie, se faisant passer pour des recruteurs pour Crypto.com ou Coinbase.