Det er vanskelig å finne en ny jobb, og det er enda vanskeligere å få en som passer dine ferdigheter, ambisjoner og arbeidsmønster. Hvis du er i teknologibransjen, kan svaret på feil stillingsannonse se at du risikerer din egen sikkerhet og din nåværende arbeidsgivers sikkerhet, takket være hackede apper med åpen kildekode som inneholder ZetaNile-malware. Her er det du trenger å vite
Hvorfor er arbeidssøkere i faresonen?
Den statsstøttede nordkoreanske kriminelle hackergruppen, Lazarus, retter seg mot arbeidere innen teknologi, forsvar og medieunderholdning. med spyd phishing-angrep over Linkedin.
I følge Microsoft Threat Intelligence Center (MSTIC), de kriminelle – også kjent som ZINC – poserer som rekrutterere, når ut til enkeltpersoner i målrettede sektorer og oppmuntrer dem til å søke på åpne stillinger. Etter en tilsynelatende normal rekrutteringsprosess, flyttes samtaler fra plattformen, før rekrutter blir bedt om å laste ned og installere populære apper med åpen kildekode som f.eks. PuTTY SSH-klient, KiTTY-terminalemulatoren og TightVNC Viewer.
Disse åpen kildekode-verktøyene brukes ofte i teknologiverdenen, og er allment tilgjengelige gratis på nettet kostnad, men versjonene som tilbys av Lazarus over WhatsApp er hacket for å lette levering av skadevare.
Appene distribueres som en del av en zip-arkiv eller ISO-fil, og inneholder ikke selv skadelig programvare. I stedet kobles den kjørbare til en IP-adresse spesifisert i en medfølgende tekstfil, hvorfra ZetaNile-malwaren lastes ned og installeres.
Lazarus bevæpner jobbsøknaden på alle trinn, inkludert selve søknadsskjemaet – søkere oppfordres til å fylle ut skjemaet ved å bruke en undergravd versjon av Sumatra PDF Reader.
Hva er ZetaNile og hva gjør det?
Når bakdøren er hentet fra den eksterne plasseringen, opprettes en planlagt oppgave, som garanterer utholdenhet. Den kopierer deretter en legitim Windows-systemprosess, og laster ondsinnede DLL-er, før den kobles til et Command and Control-domene.
Fra dette tidspunktet har et faktisk menneske kontroll over maskinen din (dessverre er det ikke deg). De kan identifisere domenekontrollere og nettverkstilkoblinger, samt åpne dokumenter, ta skjermbilder og eksfiltrere dataene dine. De kriminelle kan også installere ytterligere skadelig programvare på målsystemet.
Hva bør du gjøre hvis du mistenker at du har ZetaNile-malware?
Den enkelte arbeidssøker er neppe klar over at de har installert skadevare på bedriftens nettverk, men MSTIC har gitt noen nyttige instruksjoner for systemadministratorene og sikkerhetsteamene som er igjen for å plukke opp bitene og tørke opp rot:
- Sjekk for eksistensen av Amazon-KiTTY.exe, Amazon_IT_Assessment.iso, IT_Assessment.iso, amazon_assessment_test.iso, eller SecurePDF.exe på datamaskiner.
- Fjern C:\ProgramData\Comms\colorui.dll, og %APPDATA%\KiTTY\mscoree.dll filer.
- Blokker nettverkstilgang til 172.93.201[.]253, 137.184.15[.]189, og 44.238.74[.]84. Disse IP-ene er hardkodet inn i skadelig programvare.
- Gjennomgå all autentiseringsaktivitet for ekstern tilgangsinfrastruktur.
- Aktiver multifaktorautentisering for alle systemer.
- Lær brukere om å forhindre infeksjoner med skadelig programvare, samt å beskytte personlig og forretningsinformasjon.
Dette siste elementet er spesielt talende, og aforismen om at det svakeste leddet i sikkerhetsforsyningskjeden er brukeren, er sant av en grunn. Ethvert programvareproblem eller sikkerhetshull kan fikses, men det er vanskelig å stoppe personen bak tastaturet fra å installere skumle pakker – spesielt hvis de blir fristet av en ny, godt betalt jobb.
For brukere som er fristet til å installere skissert programvare på arbeidsdatamaskinen: bare ikke gjør det. Be i stedet IT om å gjøre det for deg (de vil advare deg hvis noe er galt), eller hvis du absolutt må, last ned fra den offisielle kilden.
Kriminelle leter alltid etter en vei inn i nettverk
Bedriftshemmeligheter er verdifulle, og det er alltid mennesker og grupper som leter etter en enkel måte å få tak i dem. Ved å målrette jobbsøkere kan de nesten garantere at det første offeret ikke vil involvere IT – ingen ønsker å bli sett på å søke nye jobber fra arbeidsdatamaskinen. Hvis du bruker arbeidsgivernes utstyr, bør du kun bruke det til arbeid. Spar jobbsøkingen til når du kommer hjem.
