Lazarus se ha relacionado con una nueva campaña que ataca a los solicitantes de empleo esperanzados en la industria de la defensa.
El grupo de amenazas persistentes avanzadas (APT) se ha hecho pasar por Lockheed Martin en la última operación. La empresa con sede en Bethesda, Maryland, está involucrada en aeronáutica, tecnología militar, sistemas de misión y exploración espacial.
Lockheed Martin generó $65,400 millones en ventas en 2020 y tiene aproximadamente 114,000 empleados en todo el mundo.
Lazarus es un grupo de piratería patrocinado por el estado con vínculos con Corea del Norte. El grupo prolífico y sofisticado generalmente tiene una motivación financiera y se cree que es responsable de ataques graves en el pasado, comenzando con el brote de ransomware WannaCry, así como el atraco de $ 80 millones contra el Banco de Bangladesh, ataques contra empresas de transporte y suministros de Corea del Sur. cadenas
El 8 de febrero, el ingeniero sénior de investigación de amenazas de Qualys, Akshat Pradhan, reveló una nueva campaña que utiliza el nombre de Lockheed Martin para atacar a los solicitantes de empleo.
De manera similar a las actividades pasadas que abusaron de la reputación de Northrop Grumman y BAE Systems, Lazarus está enviando a sus objetivos documentos de phishing que pretenden ofrecer oportunidades de empleo.
Además: los piratas informáticos de Arid Viper atacan Palestina con señuelos políticos y troyanos
Los documentos, denominados Lockheed_Martin_Oportunidades de trabajo.docx y Salary_Lockheed_Martin_job_opportunities_confidential.doccontienen macros maliciosas que activan shellcode para secuestrar el flujo de control, recuperar documentos señuelo y crear tareas programadas para la persistencia.
También se abusa de Living Off the Land Binaries (LOLBins) para promover el compromiso de la máquina de destino. Sin embargo, cuando los scripts maliciosos intentaron obtener una carga útil adicional, se devolvió un error, por lo que Qualys no puede estar seguro de qué pretendía lograr el paquete de malware final.
«Atribuimos esta campaña a Lazarus ya que existe una superposición significativa en el contenido macro, el flujo de la campaña y los temas de phishing de nuestras variantes identificadas, así como variantes más antiguas que otros proveedores han atribuido a Lazarus», dice Pradhan.
Esta no es la primera vez que Lazarus se aprovecha de candidatos o vacantes laborales. F-Secure encontró previamente muestras de correos electrónicos de phishing, disfrazados de ofertas de trabajo, que se enviaron a un administrador del sistema que pertenece a una organización de criptomonedas objetivo.
En una investigación relacionada, el equipo de ciberseguridad Blueliv de Outpost24 ha nombrado a Lazarus, Cobalt y FIN7 como los grupos de amenazas más frecuentes que se dirigen a la industria financiera en la actualidad.
Actualización 14.11 GMT: dijo un portavoz de Lockheed Martin MarketingyPublicidad.es:
«Si bien no discutimos amenazas o respuestas específicas, contamos con políticas y procedimientos para mitigar las amenazas cibernéticas a nuestro negocio, y seguimos confiando en la integridad de nuestros sólidos sistemas de información de múltiples capas y la seguridad de los datos».
La compañía también tiene un recurso dedicado al fraude en su sitio web.
Ver también
¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0