Se ha observado al infame actor de amenazas de Corea del Norte, Lazarus Group, participando en un ataque de malware altamente sofisticado y dirigido que implica comprometer el popular software de código abierto y ejecutar campañas de phishing selectivo.
Como resultado, ha logrado comprometer a «numerosas» organizaciones en las industrias de medios, defensa y aeroespacial, así como servicios de TI, un informe (se abre en una pestaña nueva) de Microsoft ha concluido.
La empresa afirma que Lazarus (o ZINC, como denomina al grupo) comprometió a PuTTY, entre otras aplicaciones de código abierto, con un código malicioso que instala spyware. PuTTY es un emulador de terminal, una consola serie y una aplicación de transferencia de archivos de red gratuitos y de código abierto.
Instalación de ZetaNile
Pero simplemente comprometer el software de código abierto no garantiza la entrada a los puntos finales de la organización objetivo: las personas aún necesitan descargar y ejecutar el software. Ahí es donde entra en juego el spear-phishing. Al participar en un ataque de ingeniería social altamente dirigido a LinkedIn, los actores de la amenaza logran que ciertas personas que trabajan en las empresas objetivo descarguen y ejecuten la aplicación. Aparentemente, los miembros del grupo asumen las identidades de los reclutadores en LinkedIn, ofreciendo a las personas lucrativas oportunidades laborales.
La aplicación se diseñó específicamente para evitar ser detectada. Solo cuando la aplicación se conecta a una dirección IP específica e inicia sesión con un conjunto especial de credenciales de inicio de sesión, la aplicación inicia el malware de espionaje ZetaNile.
Además de PuTTY, Lazarus logró comprometer a KiTTY, TightVNC, Sumatra PDF Reader y muPDF/Subliminal Recording.
«Los actores han comprometido con éxito a numerosas organizaciones desde junio de 2022», escribieron en una publicación miembros de los equipos de Microsoft Security Threat Intelligence y LinkedIn Threat Prevention and Defense. «Debido al amplio uso de las plataformas y el software que utiliza ZINC en esta campaña, ZINC podría representar una amenaza significativa para las personas y organizaciones en múltiples sectores y regiones».
Lazarus no es ajeno a los ataques de ofertas de trabajo falsas. Después de todo, el grupo ha estado haciendo lo mismo con los desarrolladores y artistas de criptomonedas, fingiendo ser reclutadores para Crypto.com o Coinbase.