Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.
Fuld biografi Udgivet i Zero Day den 9. februar 2022 | Emne: Sikkerhed
Lazarus har været bundet til en ny kampagne, der angriber håbefulde jobansøgere i forsvarsindustrien.
Gruppen med avanceret vedvarende trussel (APT) har efterlignet Lockheed Martin i den seneste operation. Det Bethesda, Maryland-baserede firma er involveret i luftfart, militærteknologi, missionssystemer og rumudforskning.
Lockheed Martin genererede $65,4 milliarder i salg i 2020 og har cirka 114.000 ansatte på verdensplan.
Lazarus er en statssponsoreret hackergruppe med bånd til Nordkorea. Den produktive og sofistikerede gruppe er generelt økonomisk motiveret og menes at være ansvarlig for alvorlige angreb i fortiden, begyndende med WannaCry ransomware-udbruddet, såvel som 80 millioner dollars røveri mod Bangladesh Bank, overfald mod fragtselskaber og sydkoreanske forsyningskæder .
Den 8. februar afslørede Qualys Senior Engineer of Threat Research Akshat Pradhan en ny kampagne, der bruger Lockheed Martins navn til at angribe jobansøgere.
På samme måde som tidligere aktiviteter, der misbrugte Northrop Grummans og BAE Systems omdømme, sender Lazarus mål phishing-dokumenter, der foregiver at tilbyde beskæftigelsesmuligheder.
Dokumenterne, kaldet Lockheed_Martin_JobOpportunities.docx og Salary_Lockheed_Martin_job_opportunities_confidential.doc, indeholder ondsindede makroer, som udløser shellcode til at kapre kontrolflow, hente lokkedokumenter og oprette planlagte opgaver til vedholdenhed.
Living Off the Land Binaries (LOLBins) bliver også misbrugt til at fremme kompromiset med målmaskinen. Men da de ondsindede scripts forsøgte at trække en yderligere nyttelast ind, blev der returneret en fejl — og Qualys kan derfor ikke være sikker på, hvad den endelige malware-pakke skulle opnå.
“Vi tilskriver denne kampagne til Lazarus, da der er betydelig overlapning i makroindholdet, kampagneflowet og phishing-temaerne for vores identificerede varianter såvel som ældre varianter, der er blevet tilskrevet Lazarus af andre leverandører,” siger Pradhan.
Det er ikke første gang, Lazarus har udnyttet jobkandidater eller ledige stillinger. F-Secure har tidligere fundet eksempler på phishing-e-mails, der er udgivet som jobtilbud, der blev sendt til en systemadministrator, der tilhører en målrettet kryptovaluta-organisation.
I relateret forskning har Outpost24's Blueliv cybersikkerhedsteam udpeget Lazarus, Cobalt og FIN7 som de mest udbredte trusselsgrupper, der er rettet mod finansindustrien i dag.
ZDNet har kontaktet Lockheed Martin, og vi vil opdatere, når vi hører tilbage.
Tidligere og relateret dækning
Fingrene peger på Lazarus, Cobalt, FIN7 som nøglehackergrupper, der angriber finansindustrien
Lazarus hackergruppe skjuler nu nyttelast i BMP-billedfiler
Lazarus-gruppen slår til cryptocurrency fast gennem LinkedIn jobannoncer
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Security TV | Datastyring | CXO | Datacentre