Es ist schwierig, einen neuen Job zu finden, und es ist noch schwieriger, einen zu finden, der zu Ihren Fähigkeiten, Ihren Ambitionen und Ihrem Arbeitsmuster passt. Wenn Sie in der Technologiebranche tätig sind und auf die falsche Stellenanzeige antworten, riskieren Sie dank gehackter Open-Source-Apps mit ZetaNile-Malware möglicherweise Ihre eigene Sicherheit und die Ihrer derzeitigen Arbeitgeber. Hier ist, was Sie wissen müssen
Warum sind Arbeitssuchende gefährdet?
Die staatlich geförderte nordkoreanische kriminelle Hacking-Gruppe Lazarus hat es auf Arbeiter in den Bereichen Technologie, Verteidigung und Medienunterhaltung abgesehen mit Spear-Phishing-Angriffen über LinkedIn.
Entsprechend Microsoft Threat Intelligence Center (MSTIC) geben sich die Kriminellen – auch bekannt als ZINC – als Anwerber aus, erreichen Einzelpersonen in bestimmten Sektoren und ermutigen sie, sich auf offene Stellen zu bewerben. Nach einem scheinbar normalen Rekrutierungsprozess werden die Gespräche von der Plattform verschoben, bevor die Rekruten gebeten werden, beliebte Open-Source-Apps wie das herunterzuladen und zu installieren
PuTTY-SSH-Client, der KiTTY-Terminalemulator und TightVNC Viewer.Diese Open-Source-Tools werden häufig in der Tech-Welt verwendet und sind weithin kostenlos online verfügbar kostenlos, aber die von Lazarus über WhatsApp angebotenen Versionen werden gehackt, um die Zustellung zu erleichtern Malware.
Die Apps werden im Rahmen einer verteilt zip-Archiv oder ISO-Datei und enthalten selbst keine Malware. Stattdessen verbindet sich die ausführbare Datei mit einer in einer begleitenden Textdatei angegebenen IP-Adresse, von der die ZetaNile-Malware heruntergeladen und installiert wird.
Lazarus rüstet die Bewerbung in jeder Phase auf, einschließlich des Bewerbungsformulars selbst – Bewerber werden ermutigt, das Formular mit einer subversierten Version von Sumatra PDF Reader auszufüllen.
Was ist ZetaNil und was bewirkt es?
Sobald die Hintertür von ihrem entfernten Standort abgerufen wurde, wird eine geplante Aufgabe erstellt, die Persistenz garantiert. Anschließend kopiert es einen legitimen Windows-Systemprozess und lädt bösartige DLLs, bevor es sich mit einer Command-and-Control-Domäne verbindet.
Von diesem Punkt an hat ein tatsächlicher Mensch die Kontrolle über Ihre Maschine (leider nicht Sie). Sie können Domänencontroller und Netzwerkverbindungen identifizieren sowie Dokumente öffnen, Screenshots machen und Ihre Daten exfiltrieren. Die Kriminellen können auch zusätzliche Malware auf dem Zielsystem installieren.
Was sollten Sie tun, wenn Sie vermuten, dass Sie ZetaNile-Malware haben?
Es ist unwahrscheinlich, dass sich der einzelne Arbeitssuchende bewusst ist, dass er Malware in seinem Unternehmensnetzwerk installiert hat, aber MSTIC hat es getan lieferte einige praktische Anweisungen für die Systemadministratoren und Sicherheitsteams, die übrig bleiben, um die Scherben aufzusammeln und aufzuwischen Durcheinander:
- Überprüfen Sie die Existenz von Amazon-Kitty.exe, Amazon_IT_Assessment.iso, IT_Assessment.iso, amazon_assessment_test.iso, oder SecurePDF.exe auf Computern.
- Entferne das C:\ProgramData\Comms\colorui.dll, Und %APPDATA%\Kitty\mscoree.dll Dateien.
- Blockieren Sie den Netzwerkzugriff auf 172.93.201[.]253, 137.184.15[.]189, Und 44.238.74[.]84. Diese IPs sind fest in die Malware codiert.
- Überprüfen Sie alle Authentifizierungsaktivitäten für die Remotezugriffsinfrastruktur.
- Aktivieren Sie die Multifaktor-Authentifizierung für alle Systeme.
- Informieren Sie Benutzer über das Verhindern von Malware-Infektionen sowie über den Schutz persönlicher und geschäftlicher Daten.
Dieser letzte Punkt ist besonders aufschlussreich, und der Aphorismus, dass das schwächste Glied in der Sicherheitsversorgungskette der Benutzer ist, ist aus gutem Grund wahr. Jedes Softwareproblem oder jede Sicherheitslücke kann behoben werden, aber es ist schwierig, die Person hinter der Tastatur davon abzuhalten, dubiose Pakete zu installieren – besonders, wenn sie von einem neuen, gut bezahlten Job in Versuchung geführt werden.
Für Benutzer, die versucht sind, skizzenhafte Software auf Ihrem Arbeitscomputer zu installieren: Tun Sie es einfach nicht. Bitten Sie stattdessen die IT, dies für Sie zu tun (sie werden Sie warnen, wenn etwas nicht stimmt), oder laden Sie sie von der offiziellen Quelle herunter, wenn dies unbedingt erforderlich ist.
Kriminelle suchen immer nach einem Weg in Netzwerke
Unternehmensgeheimnisse sind wertvoll, und es gibt immer Leute und Gruppen, die nach einer einfachen Möglichkeit suchen, an sie heranzukommen. Indem sie auf Arbeitssuchende abzielen, können sie fast garantieren, dass das erste Opfer die IT nicht einbezieht – niemand möchte gesehen werden, wie er sich von seinem Arbeitscomputer aus auf neue Jobs bewirbt. Wenn Sie die Ausrüstung Ihres Arbeitgebers verwenden, sollten Sie diese nur für die Arbeit verwenden. Heben Sie sich die Arbeitssuche auf, wenn Sie nach Hause kommen.
