Lazarus Group cílí na organizace sofistikovaným podvodem při získávání zaměstnanců přes LinkedIn

Bitdefender Labs varuje před aktivní kampaní skupiny Lazarus Group napojené na Severní Koreu, která se zaměřuje na organizace získáváním přihlašovacích údajů a doručováním malwaru prostřednictvím falešných nabídek práce na LinkedIn.

LinkedIn může být důležitým nástrojem pro uchazeče o zaměstnání a profesionály, ale stal se také hřištěm pro kyberzločince, kteří využívají jeho důvěryhodnosti. Od falešných nabídek práce a propracovaných phishingových schémat, až po podvody a dokonce státem financované organizace, které se přiživují na kariérních aspiracích a důvěře lidí v profesní sítě.

Abychom si na takové scénáře posvítili, zabýváme se v tomto článku podvodnou taktikou neúspěšné „náborové“ operace na síti LinkedIn, při níž útočníci udělali jednu zásadní chybu: zaměřili se na výzkumného pracovníka společnosti Bitdefender, který rychle odhalil jejich nekalé úmysly.

Příprava: Lákavá nabídka práce

Podvod začíná lákavou zprávou: příležitost spolupracovat na decentralizované burze kryptoměn. I když jsou podrobnosti záměrně nejasné, příslib práce na dálku, flexibility na částečný úvazek a odpovídajícího platu může nic netušící jedince nalákat. Byly zaznamenány i varianty tohoto podvodu, kdy se projekty údajně týkají cestování nebo finančních oblastí.

Jakmile cíl projeví zájem, začne „náborový proces“, při němž podvodník požaduje životopis nebo dokonce odkaz na osobní úložiště GitHub. Ačkoli se tyto požadavky zdají být nevinné, mohou sloužit k nekalým účelům, například ke sběru osobních údajů nebo k dodání zdání legitimnosti interakce.

Zaslané soubory poskytnuté „uchazečem“ rozhodně využije „náborář“, který může shromažďovat informace a používat je k další legitimizaci konverzace s nic netušící obětí.

Past: Spuštění škodlivého kódu

Po obdržení požadovaných informací sdílí útočník úložiště obsahující „minimální životaschopný produkt“ (MVP) projektu. Přiloží také dokument s otázkami, které lze zodpovědět pouze spuštěním demoverze.

Na první pohled se kód zdá být neškodný. Při bližším zkoumání však zjistíte, že jde o silně obfuskovaný skript, který dynamicky načítá škodlivý kód z koncového bodu třetí strany.

Naši analytici zjistili, že se jedná o multiplatformní nástroj pro krádež informací, který lze nasadit v operačních systémech Windows, MacOS a Linux. Tento infostealer je navržen tak, aby se zaměřil na řadu populárních krypto peněženek tím, že vyhledává rozšíření prohlížeče související s kryptoměnami s následujícími ID:

Po nasazení zloděj shromažďuje důležité soubory, jež se vztahují k těmto rozšířením, a zároveň shromažďuje přihlašovací údaje použitých prohlížečů a exfiltuje informace na nebezpečnou IP adresu, která zřejmě obsahuje další škodlivé soubory na serveru. Po exfiltraci přihlašovacích údajů, a údajů souvisejících s rozšířeními, stáhne a spustí Python skript s názvem main99_65.py, který připraví půdu pro další záškodnické aktivity.

Skript Python se rekurzivně dekomprimuje a dekóduje, až nakonec odkryje další fázi - skrytý skript, který dále umožňuje stažení tří dalších modulů Python:

mlip.py

• Zachycuje události klávesnice konkrétně zaměřené na webové prohlížeče.

• Monitoruje změny schránky v celém systému, a hledá data související s šifrováním.

• Okamžitě odešle ukradená data na vzdálený server ovládaný útočníkem.

pay.py

• Hlásí útočníkovi informace o systému/síti.

• Vyhledá a exfiltuje cenné soubory (dokumenty, systémové proměnné, soukromé klíče, kryptografické mnemotechniky) a nahraje je na útočníkův C2 server.

• Udržuje trvalý komunikační kanál pro další příkazy a skripty.

bow.py

• Prochází následujícími prohlížeči: Chrome, Brave, Opera, Yandex, Microsoft Edge.

• Extrahuje a exfiltruje citlivá data prohlížeče (přihlašovací údaje a informace o platbách) pro systémy Windows, Linux a macOS.

• Spustí pythonovský skript Tsunami Injector, který se připojí k několika Pastebinům, aby se dostal na URL adresu pro payload (.exe 617205f5a241c2712d4d0a3b06ce3afd)

Další payload v řadě (binární soubor .NET) spustí souběžně s hlavním payloadem další závislosti. Jedna ze závislostí přidá škodlivé binární soubory do seznamu výjimek programu Microsoft Defender a zároveň stáhne a spustí proxy server Tor, který komunikuje se serverem C2 (Command & Control). Kromě toho binární soubor také stáhne další škodlivý spustitelný soubor ze serveru Tor C2, nainstaluje rozhraní .NET 6.0, pokud ještě není nainstalováno, a exfiltuje následující informace o oběti (fingerprinting):

• Název hostitele

• Uživatelské jméno

• Operační systém

• Název procesoru a počet jader

• Název grafického procesoru

• Informace o paměti RAM

• Veřejná IP adresa, země a město

pustitelný soubor, stažený ze serveru Tor C2, obsahuje několik modulů, které jsou spouštěny v několika vláknech:

• Backdoor - provádí širokou škálu operací sběru dat (hesla prohlížeče, relace, klíče kryptopeněženky, hesla účtu Discord);

• „Secret file“ stealer - konfigurovatelný stealer, který skenuje a exfiltruje soubory na základě určených pravidel načtených ze serveru C2;

• Crypto-miner - rovněž konfigurovatelný. Lze jej omezit na základě určitých sledovaných metrik (zatížení CPU a GPU, jádra CPU, množství RAM, probíhající aktivita);

• Keylogger - využívá rozhraní API systému win32 k zachycování, ukládání a exfiltraci stisků kláves.

Řetězec infekce je složitý a obsahuje škodlivý software, napsaný v několika programovacích jazycích a využívající různé technologie, jako jsou vícevrstvé skripty Python, které se rekurzivně dekódují a spouštějí samy, JavaScript stealer, který nejprve sbírá data prohlížeče a teprve poté se přesune k dalším payloadům, a stagery založené na platformě .NET, které dokáží deaktivovat bezpečnostní nástroje, konfigurovat proxy server Tor a spouštět kryptoměnové minery.

Malware infikuje systémy Windows, macOS a Linux díky kompatibilitě napříč platformami, používá různé metody exfiltrace (HTTP, Tor a útočníkem ovládané IP adresy) a obsahuje moduly pro keylogging, průzkum systému, sběr souborů a nepřetržitou komunikaci C2, což ukazuje šíři a komplexnost jeho schopností.

Hlavní organizátor: Státem sponzorovaný útočník

Analýza malwaru a operačních taktik silně naznačuje zapojení státem sponzorovaných aktérů, konkrétně ze Severní Koreje. Tyto subjekty, které byly dříve spojovány se škodlivými nabídkami práce a falešnými žádostmi o zaměstnání, mají vazby na skupiny jako Lazarus Group (APT 38).

Jejich cíle jdou nad rámec krádeží osobních údajů. Kompromitací osob pracujících v odvětvích, jako je letectví, obrana a jaderný průmysl, se snaží exfiltrovat utajované informace, proprietární technologie a firemní pověření. V tomto případě by spuštění malwaru na podnikových zařízeních mohlo útočníkům umožnit přístup k citlivým firemním datům, což by škody ještě znásobilo.

Zatímco v tomto článku jsme se zabývali škodlivými nabídkami práce, bylo pozorováno, že se stejní útočníci pokoušeli proniknout do různých společností tím, že fingovali identitu a ucházeli se o spoustu pracovních pozic. Výsledek by byl přibližně stejný: soukromé informace, pověření a technologie by byly exfiltrovány firemními špiony.

Aktuální a úplný seznam indikátorů kompromitace je uživatelům služby Bitdefender Advanced Threat Intelligence k dispozici zde.

Jak zůstat v bezpečí

Vzhledem k tomu, že sociální platformy se stále častěji stávají ohniskem podvodných aktivit, je ostražitost nezbytná. Zde je několik varovných signálů a opatření na vaši ochranu:

Červené vlajky:

• Vágní popisy pracovních míst: Žádné odpovídající pracovní místo na platformě.

• Podezřelá úložiště: Patří uživatelům s náhodnými jmény a postrádají řádnou dokumentaci nebo příspěvky.

• Špatná komunikace: Časté pravopisné chyby a odmítání poskytnout alternativní způsoby kontaktu, jako jsou firemní e-maily nebo telefonní čísla.

Doporučené postupy:

• Vyhněte se spouštění neověřeného kódu: K bezpečnému testování kódu používejte virtuální počítače, sandboxy nebo online platformy.

• Ověřujte pravost: Křížová kontrola nabídek práce s oficiálními firemními webovými stránkami a potvrzení e-mailových domén.

• Osvojte si opatrnost: Nevyžádané zprávy a žádosti o osobní údaje pečlivě kontrolujte.

Ideální je nikdy nespouštět cizí zdrojový kód na podnikových zařízeních a na osobních počítačíchm používat virtuální stroje, sandboxy nebo různé online platformy. I když by to zvýšilo určité administrativní náklady, zabránilo by to úniku osobních informací a jejich budoucímu zneužití.

Ověření podezlelých textů, zpráv, QR kódů, apod.

Pokud máte podezření, že se vás někdo pokouší podvést, nebo nějaká webová stránka vypadá podezřele, zkontrolujte ji pomocí Scamio, naší bezplatné služby pro detekci podvodů a využívající umělou inteligenci. Pošlete jakékoli texty, zprávy, odkazy, QR kódy nebo obrázky službě Scamio, která je analyzuje a určí, zda jsou součástí podvodu. Služba Scamio je zdarma a je k dispozici v aplikacích Facebook Messenger, WhatsApp, webovém prohlížeči a Discord. Zdarma můžete také využít náš praktický nástroj Link Checker, který ověří legitimitu odkazů a ochrání vaše zařízení, data a identitu před kompromitací.

AUTOR