Een nieuwe baan vinden is moeilijk, en het is nog lastiger om er een te vinden die bij je vaardigheden, ambities en werkpatroon past. Als je in de technische sector zit, kan het reageren op de verkeerde vacature ervoor zorgen dat je je eigen veiligheid en die van je huidige werkgevers in gevaar brengt, dankzij gehackte open source-apps die ZetaNile-malware bevatten. Dit is wat u moet weten
Waarom lopen werkzoekenden risico?
De door de staat gesponsorde Noord-Koreaanse criminele hackgroep Lazarus richt zich op werknemers in de technologie-, defensie- en media-entertainmentsector met spear phishing-aanvallen via Linkedin.
Volgens Microsoft Threat Intelligence Center (MSTIC), de criminelen - ook bekend als ZINC - doen zich voor als recruiters, bereiken individuen in specifieke sectoren en moedigen hen aan om te solliciteren naar vacatures. Na een ogenschijnlijk normaal rekruteringsproces worden gesprekken van het platform verwijderd, voordat rekruten wordt gevraagd om populaire open source-apps te downloaden en te installeren, zoals de
PuTTY SSH-client, de KiTTY-terminalemulator en TightVNC Viewer.Deze open source-tools worden veel gebruikt in de technische wereld en zijn gratis overal online beschikbaar betalen, maar de versies die door Lazarus via WhatsApp worden aangeboden, zijn gehackt om de bezorging te vergemakkelijken malware.
De apps worden gedistribueerd als onderdeel van een zip-archief of ISO-bestand en bevatten zelf geen malware. In plaats daarvan maakt het uitvoerbare bestand verbinding met een IP-adres dat is opgegeven in een begeleidend tekstbestand, van waaruit de ZetaNile-malware wordt gedownload en geïnstalleerd.
Lazarus bewapent de sollicitatie in elke fase, inclusief het sollicitatieformulier zelf - sollicitanten worden aangemoedigd om het formulier in te vullen met behulp van een ondermijnde versie van Sumatra PDF Reader.
Wat is ZetaNile en wat doet het?
Zodra de achterdeur is opgehaald van zijn externe locatie, wordt een geplande taak gemaakt, waardoor persistentie wordt gegarandeerd. Het kopieert vervolgens een legitiem Windows-systeemproces en laadt schadelijke DLL's voordat het verbinding maakt met een Command and Control-domein.
Vanaf dit punt heeft een echte mens de controle over uw machine (helaas bent u het niet). Ze kunnen domeincontrollers en netwerkverbindingen identificeren, maar ook documenten openen, screenshots maken en uw gegevens exfiltreren. De criminelen kunnen ook extra malware op het doelsysteem installeren.
Wat moet u doen als u vermoedt dat u ZetaNile-malware heeft?
Het is onwaarschijnlijk dat de individuele werkzoekende zich ervan bewust is dat hij malware op zijn bedrijfsnetwerk heeft geïnstalleerd, maar MSTIC wel gaf enkele handige instructies voor de sysadmins en beveiligingsteams die zijn achtergebleven om de stukken op te rapen en de troep:
- Controleer op het bestaan van Amazon-KiTTY.exe, Amazon_IT_Assessment.iso, IT_Assessment.iso, amazon_assessment_test.iso, of SecurePDF.exe op computers.
- Verwijder de C:\ProgramData\Comms\colorui.dll, En %APPDATA%\KiTTY\mscoree.dll bestanden.
- Blokkeer netwerktoegang tot 172.93.201[.]253, 137.184.15[.]189, En 44.238.74[.]84. Deze IP's zijn hard gecodeerd in de malware.
- Bekijk alle authenticatieactiviteiten voor infrastructuur voor externe toegang.
- Multifactor-authenticatie inschakelen voor alle systemen.
- Informeer gebruikers over het voorkomen van malware-infecties en het beschermen van persoonlijke en zakelijke informatie.
Vooral dit laatste item is veelzeggend, en het aforisme dat de zwakste schakel in de beveiligingsketen de gebruiker is, is niet voor niets waar. Elk softwareprobleem of beveiligingslek kan worden verholpen, maar het is moeilijk om te voorkomen dat de persoon achter het toetsenbord onbetrouwbare pakketten installeert, vooral als ze worden verleid door een nieuwe, goedbetaalde baan.
Voor gebruikers die in de verleiding komen om vage software op je werkcomputer te installeren: gewoon niet doen. Vraag IT in plaats daarvan om het voor je te doen (ze zullen je waarschuwen als er iets mis is), of als het absoluut moet, download dan van de officiële bron.
Criminelen zijn altijd op zoek naar een weg naar netwerken
Bedrijfsgeheimen zijn waardevol en er zijn altijd mensen en groepen die op zoek zijn naar een gemakkelijke manier om ze te bemachtigen. Door zich te richten op werkzoekenden, kunnen ze bijna garanderen dat het eerste slachtoffer er geen IT bij zal betrekken - niemand wil gezien worden als hij solliciteert naar een nieuwe baan vanaf zijn werkcomputer. Als u de apparatuur van uw werkgever gebruikt, mag u deze alleen voor uw werk gebruiken. Bewaar het zoeken naar werk voor als je thuiskomt.
