北朝鮮政府が支援するハッカーは、メディア、防衛、航空宇宙、ITサービス業界の「多数の」組織を侵害することにすでに成功している進行中のキャンペーンで、有名なオープンソースソフトウェアの一部を武器にしているとMicrosoftは2022年9月29日に主張しました。
ZINC (Lazarusとも呼ばれる脅威アクターグループに対する Microsoftの名前であり、2014年の Sony Pictures Entertainmentに対する壊滅的な侵害を実行したことで最もよく知られています)は、最終的にスパイマルウェアをインストールする高度に暗号化されたコードを PuTTY やその他の正当なオープンソース アプリケーションに組み込んでいます。
その後、ハッカーは求人担当者を装い、LinkedInを介して標的の組織の個人とつながります。一連の会話で一定レベルの信頼を築き、最終的にWhatsAppメッセンジャーに移行した後、ハッカーは個人にアプリをインストールするように指示し、それが従業員の職場環境に感染します.
「攻撃者は、2022年6月以降、多数の組織への侵入に成功しています」と、Microsoft Security Threat Intelligenceおよび LinkedInの脅威防止および防御チームのメンバーは投稿に書かれています。
「このハッキングキャンペーンでZINCが利用するプラットフォームとソフトウェアが広く使用されているため、ZINCは複数のセクターや地域の個人や組織に重大な脅威をもたらす可能性があります」
PuTTYは、SSH、SCP、Telnet、rlogin、raw ソケット接続などのネットワーク プロトコルをサポートする、一般的な端末エミュレータ、シリアルコンソール、およびネットワーク ファイル転送アプリケーションです。
2週間前、セキュリティ会社のMandiantは、北朝鮮と関係のあるハッカーが、顧客のネットワークを侵害するキャンペーンで北朝鮮をトロイの木馬化したと警告しました。
木曜日の投稿では、同じハッカーが、KiTTY、TightVNC、Sumatra PDF Reader、および muPDF/Subliminal Recording ソフトウェアを武器化し、Microsoft が ZetaNile と名付けた同じスパイマルウェアをインストールするコードを使用していると述べています。
Lazarus はかつて、限られたリソーススキルしか持たないハッカーの集まりでした。過去10 年間で、その能力は大幅に向上しました。過去5年間の暗号通貨取引所への攻撃は、国の大量破壊兵器プログラムのために数十億ドルを生み出しました. 彼らは、高度に強化されたアプリのゼロデイ脆弱性を定期的に発見して悪用し、他の国家支援グループが使用しているのと同じマルウェア手法を多数使用しています。
このグループは、被害者への最初の経路として主にスピアフィッシングに依存していますが、他の形態のソーシャル ンジニアリングや Webサイトの侵害も時々使用します。共通のテーマは、メンバーが侵害したい組織の従業員を標的にすることです。多くの場合、トロイの木馬化されたソフトウェアをインストールするように騙したり、強要したりします。
Microsoftが確認したトロイの木馬化されたPuTTY および KiTTYアプリは、巧妙なメカニズムを使用して、意図したターゲットのみが感染し、他のターゲットに不注意に感染しないようにします。
(via Ars Technica)
Last Updated on 2022年9月30日 by Editor
※このサイトの記事には「噂」や「疑惑」など、不確定な情報が含まれています。ご了承ください。(管理人)
