Северокорейская хакерская группа Lazarus использовала поддельные вакансии для взлома корпоративной сети неназванной аэрокосмической компании в Испании, используя в атаке ранее недокументированный бэкдор под названием LightlessCan.
В рамках своей продолжительной кампании «Operation Dreamjob», о которой мы уже неоднократно рассказывали ранее, хакеры представляются рекрутёрами из крупных фирм, якобы предлагающими высокооплачиваемую работу.
Жертвы для атаки выбираются совсем не случайно, поддельные рекрутёры ищут действующих сотрудников определённой организации и обращаются с фейковым предложением о работе именно к ним.
Когда потенциальная жертва заинтересовалась предложением, хакеры высылают ей замаскированный вредоносный файл. Чтобы не ждать до вечера и не терять драгоценного времени, жертва запускает этот файл прямо со своего рабочего устройства, тем самым непреднамеренно заражая всю корпоративную сеть компании вредоносным ПО.
Специалисты ESET провели расследование одного из таких инцидентов и смогли воссоздать начальный этап атаки, а также извлечь компоненты инструментария Lazarus.
Атака началась с сообщения в
Источник: SecurityLab