Намирането на нова работа е трудно, а още по-трудно е да намерите такава, която отговаря на вашите умения, амбиции и модел на работа. Ако сте в технологичната индустрия, отговаряйки на грешна обява за работа, може да рискувате собствената си сигурност и тази на настоящите си работодатели, благодарение на хакнати приложения с отворен код, носещи зловреден софтуер ZetaNile. Ето какво трябва да знаете
Защо търсещите работа са изложени на риск?
Спонсорираната от държавата севернокорейска престъпна хакерска група Lazarus е насочена към работници в областта на технологиите, отбраната и медийното развлечение с фишинг атаки през Linkedin.
Според Microsoft Threat Intelligence Center (MSTIC), престъпниците – известни също като ZINC – се представят за вербовчици, достигайки до лица в целевите сектори и ги насърчавайки да кандидатстват за свободни позиции. След привидно нормален процес на набиране, разговорите се преместват извън платформата, преди новобранците да бъдат помолени да изтеглят и инсталират популярни приложения с отворен код, като например
PuTTY SSH клиент, терминален емулатор KiTTY и TightVNC Viewer.Тези инструменти с отворен код се използват често в света на технологиите и са широко достъпни безплатно онлайн такса, но версиите, предлагани от Lazarus през WhatsApp, са хакнати, за да се улесни доставката на зловреден софтуер.
Приложенията се разпространяват като част от a zip архив или ISO файл и сами по себе си не съдържат злонамерения софтуер. Вместо това изпълнимият файл се свързва с IP адрес, посочен в придружаващ текстов файл, откъдето се изтегля и инсталира зловреден софтуер ZetaNile.
Lazarus въоръжава кандидатурата за работа на всеки етап, включително самия формуляр за кандидатстване – кандидатите се насърчават да попълват формуляра с помощта на подкопана версия на Sumatra PDF Reader.
Какво представлява ZetaNile и какво прави?
След като задната врата бъде извлечена от отдалеченото си местоположение, се създава планирана задача, гарантираща постоянство. След това копира легитимен системен процес на Windows и зарежда злонамерени DLL файлове, преди да се свърже с домейн за управление и управление.
От този момент истински човек контролира вашата машина (за съжаление не сте вие). Те могат да идентифицират домейн контролери и мрежови връзки, както и да отварят документи, да правят екранни снимки и да ексфилтрират вашите данни. Престъпниците също могат да инсталират допълнителен зловреден софтуер на целевата система.
Какво трябва да направите, ако подозирате, че имате зловреден софтуер ZetaNile?
Малко вероятно е отделният търсещ работа да знае, че е инсталирал зловреден софтуер в корпоративната си мрежа, но MSTIC има предостави някои удобни инструкции за системните администратори и екипите по сигурността, които са оставени да съберат парчетата и да почистят бъркотия:
- Проверете за съществуването на Amazon-KiTTY.exe, Amazon_IT_Assessment.iso, IT_Assessment.iso, amazon_assessment_test.iso, или SecurePDF.exe на компютри.
- Премахни C:\ProgramData\Comms\colorui.dll, и %APPDATA%\KiTTY\mscoree.dll файлове.
- Блокирайте достъпа до мрежата 172.93.201[.]253, 137.184.15[.]189, и 44.238.74[.]84. Тези IP адреси са твърдо кодирани в зловредния софтуер.
- Прегледайте цялата дейност по удостоверяване за инфраструктура за отдалечен достъп.
- Активиране на многофакторно удостоверяване за всички системи.
- Обучете потребителите за предотвратяване на инфекции със зловреден софтуер, както и за защита на лична и бизнес информация.
Последният елемент е особено показателен и афоризмът, че най-слабото звено във веригата за доставки на сигурност е потребителят, е верен с причина. Всеки софтуерен проблем или дупка в сигурността могат да бъдат коригирани, но е трудно човекът зад клавиатурата да бъде спрян да инсталира измамни пакети - особено ако е изкушен от нова, добре платена работа.
За потребители, които се изкушават да инсталират схематичен софтуер на работния си компютър: просто не го правете. Вместо това помолете ИТ да го направи вместо вас (те ще ви предупредят, ако нещо не е наред), или ако е абсолютно необходимо, изтеглете от официалния източник.
Престъпниците винаги търсят път към мрежите
Корпоративните тайни са ценни и винаги има хора и групи, които търсят лесен начин да се доберат до тях. Като се насочват към търсещите работа, те почти могат да гарантират, че първоначалната жертва няма да се намеси в ИТ—никой не иска да бъде видян да кандидатства за нова работа от работния си компютър. Ако използвате оборудването на вашия работодател, трябва да го използвате само за работа. Запазете търсенето на работа, когато се приберете у дома.