Najít novou práci je těžké a ještě složitější je získat takovou, která vyhovuje vašim dovednostem, ambicím a pracovnímu vzoru. Pokud se pohybujete v technologickém průmyslu, odpovíte na špatný pracovní inzerát, díky kterému riskujete svou vlastní bezpečnost a bezpečnost svých současných zaměstnavatelů, a to díky hacknutým aplikacím s otevřeným zdrojovým kódem, které obsahují malware ZetaNile. Zde je to, co potřebujete vědět
Proč jsou uchazeči o zaměstnání v ohrožení?
Státem sponzorovaná severokorejská kriminální hackerská skupina Lazarus se zaměřuje na pracovníky v oblasti technologií, obrany a mediální zábavy. se spear phishingovými útoky přes Linkedin.
Podle Microsoft Threat Intelligence Center (MSTIC), zločinci - také známí jako ZINC - vystupují jako náboráři, oslovují jednotlivce v cílových sektorech a povzbuzují je, aby se ucházeli o otevřené pozice. Po zdánlivě běžném procesu náboru jsou konverzace přesunuty mimo platformu, než jsou rekruti požádáni, aby si stáhli a nainstalovali oblíbené open source aplikace, jako je např.
PuTTY SSH klient, emulátor terminálu KiTTY a TightVNC Viewer.Tyto open source nástroje se běžně používají v technologickém světě a jsou široce dostupné online zdarma zpoplatnit, ale verze nabízené společností Lazarus přes WhatsApp jsou napadeny, aby se usnadnilo doručení malware.
Aplikace jsou distribuovány jako součást a zip archiv nebo ISO a samy o sobě neobsahují malware. Místo toho se spustitelný soubor připojí k IP adrese uvedené v doprovodném textovém souboru, odkud se stáhne a nainstaluje malware ZetaNile.
Lazarus vyzbrojuje žádost o zaměstnání v každé fázi, včetně samotného formuláře žádosti – žadatelům se doporučuje vyplnit formulář pomocí podvrácené verze Sumatra PDF Reader.
Co je ZetaNile a co dělá?
Jakmile byla zadní vrátka načtena ze vzdáleného umístění, je vytvořena naplánovaná úloha, která zaručuje stálost. Poté zkopíruje legitimní proces systému Windows a načte škodlivé knihovny DLL, než se připojí k doméně Command and Control.
Od tohoto okamžiku váš stroj ovládá skutečný člověk (bohužel to nejste vy). Mohou identifikovat řadiče domény a síťová připojení, stejně jako otevírat dokumenty, pořizovat snímky obrazovky a exfiltrovat vaše data. Zločinci mohou do cílového systému nainstalovat další malware.
Co byste měli dělat, pokud máte podezření, že máte ZetaNile malware?
Je nepravděpodobné, že by si jednotlivý uchazeč o zaměstnání uvědomoval, že ve své podnikové síti nainstaloval malware, ale MSTIC ano poskytl několik užitečných instrukcí pro systémové správce a bezpečnostní týmy, kteří zbyli, aby posbírali kousky a vyčistili nepořádek:
- Zkontrolujte existenci Amazon-KiTTY.exe, Amazon_IT_Assessment.iso, IT_Assessment.iso, amazon_assessment_test.isonebo SecurePDF.exe na počítačích.
- Odstranit C:\ProgramData\Comms\colorui.dll, a %APPDATA%\KiTTY\mscoree.dll soubory.
- Blokovat přístup k síti 172.93.201[.]253, 137.184.15[.]189, a 44.238.74[.]84. Tyto IP adresy jsou pevně zakódovány do malwaru.
- Zkontrolujte veškerou aktivitu ověřování pro infrastrukturu vzdáleného přístupu.
- Povolit vícefaktorové ověřování pro všechny systémy.
- Poučte uživatele o prevenci malwarových infekcí a také o ochraně osobních a obchodních informací.
Tato poslední položka je obzvláště výmluvná a aforismus, že nejslabším článkem bezpečnostního dodavatelského řetězce je uživatel, je z nějakého důvodu pravdivý. Jakýkoli softwarový problém nebo bezpečnostní díru lze opravit, ale je obtížné zastavit osobu za klávesnicí v instalaci riskantních balíčků – zvláště pokud je láká nová, dobře placená práce.
Pro uživatele, kteří jsou v pokušení instalovat na váš pracovní počítač útržkovitý software: prostě to nedělejte. Místo toho požádejte IT, aby to udělalo za vás (upozorní vás, pokud je něco v nepořádku), nebo pokud nezbytně musíte, stáhněte si z oficiálního zdroje.
Zločinci vždy hledají cestu do sítí
Firemní tajemství jsou cenná a vždy se najdou lidé a skupiny, kteří hledají snadný způsob, jak je získat. Tím, že se zaměří na uchazeče o zaměstnání, mohou téměř zaručit, že první oběť nezapojí IT – nikdo nechce být viděn, jak se uchází o novou práci ze svého pracovního počítače. Pokud používáte vybavení svých zaměstnavatelů, měli byste je používat pouze pro práci. Nechte si hledání práce, až se vrátíte domů.
