雅加达 - LinkedIn以寻找工作或招聘新员工而闻名,但后来这个专业社交网络以虚假工作机会为幌子感染了恶意软件。

威胁情报公司 Mandiant 发现该活动自 2022 年 6 月以来一直在进行。据信,这个骗局背后的策划者是一个来自朝鲜的黑客组织。

这个名为“梦想工作行动”(Operation Dream Job)的拉撒路组织经常违反加密用户的系统。他们利用LinkedIn上的虚假工作机会来引诱受害者,从而开展新的恶意软件活动。

最初,他们以合法招聘人员为幌子在媒体、技术和国防行业发布虚假的工作机会。

事实上,他们还在一则广告中模仿了《纽约时报》的媒体。但是,Mandiant认为,新的活动来自Lazarus的一个独立组织,并且是独一无二的,因为用于攻击的TouchMove,SideShow和TouchShift恶意软件以前从未见过。

在用户回应LinkedIn的工作机会后,黑客随后在WhatsApp上继续该过程,在那里他们将共享一个包含恶意宏的Word文档,然后从WordPress站点安装一个木马,黑客入侵并用作他们的控制中心。

该木马基于TightVNC,称为LidShift,反过来上传一个恶意Notepad++插件,该插件下载称为LidShot的恶意软件,然后在设备上部署最终有效载荷,即PlankWalk后门。

之后,黑客随后使用了一个名为TouchShift的恶意软件投放器,该投放器隐藏在Windows二进制文件中。它包含大量额外的恶意内容,分别包括TouchShot和TouchKey,屏幕截图实用程序和键盘记录器,以及TouchMove加载程序调用。

这样,创建了另一个称为SideShow的后门,黑客将在其中获得对主机系统的高度控制,例如编辑注册表,更改防火墙设置和运行其他负载的能力。

黑客还在不使用VPN的公司中使用CloudBurst恶意软件,滥用Microsoft Intune的端点管理服务,引述自TechRadar,3月14日星期二。

黑客也没有逃脱利用华硕Driver7.sys中的零日漏洞,另一个名为LightShow的有效载荷使用该漏洞来修补端点保护软件中的内核例程,并防止检测。目前,该缺陷已修补。


The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)