Znalezienie nowej pracy jest trudne, a jeszcze trudniejsze jest znalezienie takiej, która odpowiada Twoim umiejętnościom, ambicjom i trybowi pracy. Jeśli pracujesz w branży technologicznej, odpowiadając na niewłaściwe ogłoszenie o pracę, ryzykujesz własne bezpieczeństwo i bezpieczeństwo swoich obecnych pracodawców dzięki zhakowanym aplikacjom open source przenoszącym złośliwe oprogramowanie ZetaNile. Oto, co musisz wiedzieć
Dlaczego osoby poszukujące pracy są zagrożone?
Sponsorowana przez państwo północnokoreańska przestępcza grupa hakerska, Lazarus, atakuje pracowników w obszarach technologii, obrony i rozrywki medialnej z atakami typu spear phishing nad Linkedinem.
Według Centrum analizy zagrożeń firmy Microsoft (MSTIC), przestępcy — znani również jako ZINC — podszywają się pod osoby rekrutujące, docierając do osób w wybranych sektorach i zachęcając je do ubiegania się o wolne stanowiska. Po pozornie normalnym procesie rekrutacji rozmowy są przenoszone poza platformę, zanim rekruci zostaną poproszeni o pobranie i zainstalowanie popularnych aplikacji open source, takich jak
Klient PuTTY SSH, emulator terminala KiTTY i TightVNC Viewer.Te narzędzia typu open source są powszechnie używane w świecie technologii i są powszechnie dostępne online za darmo za opłatą, ale wersje oferowane przez Lazarus przez WhatsApp są hakowane, aby ułatwić dostarczanie złośliwe oprogramowanie.
Aplikacje są dystrybuowane jako część a archiwum ZIP lub ISO i same w sobie nie zawierają złośliwego oprogramowania. Zamiast tego plik wykonywalny łączy się z adresem IP określonym w załączonym pliku tekstowym, z którego pobierane i instalowane jest złośliwe oprogramowanie ZetaNile.
Lazarus zamienia aplikację o pracę w broń na każdym etapie, łącznie z samym formularzem aplikacyjnym — zachęca się kandydatów do wypełnienia formularza przy użyciu podrobionej wersji programu Sumatra PDF Reader.
Co to jest ZetaNile i do czego służy?
Po odzyskaniu backdoora ze zdalnej lokalizacji tworzone jest zaplanowane zadanie, gwarantujące trwałość. Następnie kopiuje legalny proces systemu Windows i ładuje złośliwe biblioteki DLL przed połączeniem z domeną Command and Control.
Od tego momentu rzeczywisty człowiek kontroluje twoją maszynę (niestety, to nie ty). Mogą identyfikować kontrolery domeny i połączenia sieciowe, a także otwierać dokumenty, robić zrzuty ekranu i eksfiltrować dane. Przestępcy mogą również zainstalować dodatkowe złośliwe oprogramowanie w systemie docelowym.
Co powinieneś zrobić, jeśli podejrzewasz, że masz złośliwe oprogramowanie ZetaNile?
Jest mało prawdopodobne, aby osoba poszukująca pracy była świadoma, że zainstalowała złośliwe oprogramowanie w swojej sieci korporacyjnej, ale MSTIC tak dostarczył kilka przydatnych instrukcji dla administratorów systemu i zespołów ds. bezpieczeństwa, którzy muszą pozbierać kawałki i wytrzeć bałagan:
- Sprawdź istnienie Amazon-KiTTY.exe, Amazon_IT_Assessment.iso, IT_Ocena.iso, amazon_assessment_test.iso, Lub SecurePDF.exe na komputerach.
- Usunąć C:\ProgramData\Comms\colorui.dll, I %APPDATA%\KiTTY\mscoree.dll akta.
- Zablokuj dostęp do sieci 172.93.201[.]253, 137.184.15[.]189, I 44.238.74[.]84. Te adresy IP są zakodowane na stałe w złośliwym oprogramowaniu.
- Przejrzyj całą aktywność uwierzytelniania dla infrastruktury dostępu zdalnego.
- Włącz uwierzytelnianie wieloskładnikowe dla wszystkich systemów.
- Edukuj użytkowników na temat zapobiegania infekcjom złośliwym oprogramowaniem oraz ochrony informacji osobistych i biznesowych.
Ten ostatni element jest szczególnie wymowny, a aforyzm mówiący, że najsłabszym ogniwem w łańcuchu dostaw zabezpieczeń jest użytkownik, nie bez powodu jest prawdziwy. Każdy problem z oprogramowaniem lub lukę w zabezpieczeniach można naprawić, ale trudno jest powstrzymać osobę siedzącą za klawiaturą przed instalowaniem podejrzanych pakietów — zwłaszcza jeśli kusi ją nowa, dobrze płatna praca.
Dla użytkowników, którzy mają ochotę zainstalować szkicowe oprogramowanie na komputerze służbowym: po prostu nie rób tego. Zamiast tego poproś IT, aby zrobił to za Ciebie (ostrzeże Cię, jeśli coś jest nie tak) lub, jeśli absolutnie musisz, pobierz z oficjalnego źródła.
Przestępcy zawsze szukają sposobu na dostanie się do sieci
Tajemnice korporacyjne są cenne i zawsze są ludzie i grupy, które szukają łatwego sposobu na ich zdobycie. Kierując reklamy do osób poszukujących pracy, mogą niemal zagwarantować, że pierwsza ofiara nie zaangażuje działu IT — nikt nie chce, aby widziano go ubiegającego się o nowe stanowisko ze swojego służbowego komputera. Jeśli używasz sprzętu pracodawcy, powinieneś używać go tylko do pracy. Zachowaj szukanie pracy na powrót do domu.