Aktor ancaman Korea Utara yang terkenal Lazarus Group telah diamati terlibat dalam serangan malware bertarget yang sangat canggih yang melibatkan kompromi perangkat lunak sumber terbuka populer dan menjalankan kampanye phishing tombak.
Akibatnya, ia berhasil mengkompromikan “banyak” organisasi di media, pertahanan dan kedirgantaraan, serta industri layanan TI, sebuah laporan (terbuka di tab baru) dari Microsoft telah menyimpulkan.
Perusahaan mengklaim Lazarus (atau ZINC, demikian julukan grup tersebut) mengkompromikan Putty, di antara aplikasi sumber terbuka lainnya, dengan kode berbahaya yang menginstal spyware. Putty adalah emulator terminal sumber terbuka dan gratis, konsol serial, dan aplikasi transfer file jaringan.
Menginstal ZetaNile
Namun hanya dengan mengkompromikan perangkat lunak sumber terbuka tidak menjamin akses ke titik akhir organisasi target – orang masih perlu mengunduh dan menjalankan perangkat lunak tersebut. Di situlah spear-phishing masuk. Dengan terlibat dalam serangan rekayasa sosial yang sangat tertarget di LinkedIn, pelaku ancaman meminta individu tertentu yang bekerja di perusahaan target untuk mengunduh dan menjalankan aplikasi. Rupanya, anggota grup menggunakan identitas perekrut di LinkedIn, menawarkan peluang kerja yang menguntungkan bagi orang-orang.
Aplikasi ini secara khusus dirancang agar tidak terdeteksi. Hanya ketika aplikasi terhubung ke alamat IP tertentu, dan masuk menggunakan kumpulan kredensial masuk khusus, aplikasi memulai malware spionase ZetaNile.
Selain Putty, Lazarus berhasil mengkompromikan KiTTY, TightVNC, Sumatra PDF Reader, dan muPDF/Subliminal Recording.
“Para aktor telah berhasil menyusupi banyak organisasi sejak Juni 2022,” tulis anggota tim Intelijen Ancaman Keamanan Microsoft dan Pencegahan Ancaman dan Pertahanan LinkedIn dalam sebuah postingan. “Karena luasnya penggunaan platform dan perangkat lunak yang digunakan ZINC dalam kampanye ini, ZINC dapat menjadi ancaman yang signifikan bagi individu dan organisasi di berbagai sektor dan wilayah.”
Lazarus tidak asing dengan serangan tawaran pekerjaan palsu. Lagipula, grup tersebut telah melakukan hal yang sama untuk pengembang dan artis crypto, berpura-pura menjadi perekrut untuk orang-orang seperti Crypto.com atau Coinbase.