Недавно компания Kaspersky обнаружила новые дополнения к кампании Lazarus DreamJob
Преступники нацелились на двух человек, которые работали в одной и той же ядерной компании В ходе атаки они использовали обновленное вредоносное ПО для получения доступа
Недавно было замечено, что печально известная группа Lazarus Group, субъект угроз, связанный с правительством Северной Кореи, нацелилась на ИТ-специалистов в той же ядерной организации с помощью новых типов вредоносного ПО.
Эти атаки, по-видимому, являются продолжением кампании, которая впервые была запущена в 2020 году под названием Operation DreamJob (AKA Deathnote), в рамках которой злоумышленники создавали поддельные рабочие места и предлагали эти фантастические должности людям, работающим в оборонной, аэрокосмической, криптовалютной и других глобальных секторах по всему миру.
Они связывались с ними через социальные сети, такие как LinkedIn или X, и проводили несколько раундов «собеседований». В любой момент во время этих собеседований жертвам либо сбрасывали вредоносное ПО, либо троянизировали инструменты удаленного доступа. CookieTime и CookiePlus
Конечная цель этой кампании — кража конфиденциальной информации или криптовалюты. Среди прочего, Lazarus удалось украсть около 600 миллионов долларов у криптокомпании в 2022 году.
Как объяснил Касперский в своей последней статье, в этом случае Lazarus нацелился на двух лиц с помощью вредоносных инструментов удаленного доступа. Затем они использовали инструменты, чтобы разместить вредоносное ПО под названием CookieTime, которое действовало как бэкдор, позволяя злоумышленникам выполнять различные команды на скомпрометированной конечной точке.
Это дало им возможность перемещаться по сети и загружать несколько дополнительных штаммов вредоносного ПО, таких как LPEClient, Charamel Loader, ServiceChanger и обновленную версию CookiePlus.
Касперский говорит, что CookiePlus особенно интересен, поскольку это новая вредоносная программа на основе плагина, обнаруженная в ходе последнего исследования. Она была загружена как ServiceChanger, так и Charamel Loader, причем варианты работали по-разному в зависимости от загрузчика. Поскольку CookiePlus действует как загрузчик, его функциональность ограничена, и он отправляет минимальную информацию.
Подпишитесь на рассылку новостей Ny Breaking и получайте все лучшие новости, мнения, функции и рекомендации, необходимые вашему бизнесу для успеха!
Атаки произошли в январе 2024 года, а это значит, что Lazarus остается серьезной угрозой из Северной Кореи. Через The hacker news
Вам тоже может понравиться
Статья добавлена ботом, с использованием машинного перевода : https://nybreaking.com/category/tech/
