Программное обеспечение с открытым исходным кодом взломано северокорейскими хакерами
Microsoft заявляет, что северокорейская группировка Lazarus (ZINC) троянизирует ПО с открытым исходным кодом и использует его для создания бэкдоров в организациях из сферы технологий, обороны и медиа-развлечений.
Для развертывания бэкдора BLINDINGCAN (ZetaNile) Lazarus используют следующее открытое ПО:
- PuTTY (SSH/telnet/rlogin клиент);
- KiTTY (telnet/SSH клиент);
- TightVNC (программа для удаленного рабочего стола);
- Sumatra PDF Reader (программа для просмотра различных типов файлов);
- muPDF/Subliminal Recording (установщик ПО).
Эти троянизированные программы использовались в атаках с использованием социальной инженерии с конца апреля до середины сентября 2022 года. Зараженное ПО было нацелено в основном на инженеров и специалистов техподдержки, работающих в IT-компаниях и медиаорганизациях в Великобритании, Индии и США.
Согласно отчету Microsoft, злоумышленники создали «поддельные аккаунты, выдающие себя за рекрутеров из технологических, оборонных и медиакомпаний, с целью переманить цели из LinkedIn в мессенджер WhatsApp для доставки вредоносного ПО. Жертвы получили предложение работы с учетом их профессии или происхождения, и им было предложено подать заявку на вакансию в одной из нескольких законных компаний.
После того, как хакеры развернули вредоносное ПО в системе жертвы, они использовали бэкдор для совершения бокового перемещения и обнаружения сети с целью кражи конфиденциальной информации.