Găsirea unui nou loc de muncă este greu și este și mai dificil să obții unul care să se potrivească setului tău de abilități, ambițiilor tale și modelului tău de lucru. Dacă sunteți în industria tehnologică, dacă răspundeți la anunțul de angajare greșit, vă puteți pune în pericol propria securitate și cea a angajatorilor actuali, datorită aplicațiilor open source piratate care transportă malware ZetaNile. Iată ce trebuie să știți
De ce sunt în pericol persoanele aflate în căutarea unui loc de muncă?
Grupul de hacking criminal din Coreea de Nord sponsorizat de stat, Lazarus, vizează lucrătorii din domeniile tehnologiei, apărării și divertismentului media cu atacuri de tip spear phishing prin Linkedin.
Conform Centrul Microsoft Threat Intelligence (MSTIC), criminalii – cunoscuți și sub numele de ZINC – se prezintă drept recrutori, ajungând la persoane din sectoarele vizate și încurajându-i să aplice pentru poziții deschise. După un proces de recrutare aparent normal, conversațiile sunt mutate de pe platformă, înainte ca recruților să li se solicite să descarce și să instaleze aplicații populare open source, cum ar fi
Client SSH PuTTY, emulatorul de terminal KiTTY și TightVNC Viewer.Aceste instrumente open source sunt utilizate în mod obișnuit în lumea tehnologiei și sunt disponibile pe scară largă online, gratuit taxa, dar versiunile oferite de Lazarus prin WhatsApp sunt piratate pentru a facilita livrarea malware.
Aplicațiile sunt distribuite ca parte a unui arhiva zip sau ISO și nu conțin ele însele malware-ul. În schimb, executabilul se conectează la o adresă IP specificată într-un fișier text însoțitor, de unde este descărcat și instalat malware-ul ZetaNile.
Lazarus armonizează cererea de angajare în fiecare etapă, inclusiv formularul de cerere în sine — aplicanții sunt încurajați să completeze formularul folosind o versiune subvertită a Sumatra PDF Reader.
Ce este ZetaNile și ce face?
Odată ce ușa din spate a fost preluată din locația sa de la distanță, este creată o sarcină programată, care garantează persistența. Apoi copiază un proces legitim de sistem Windows și încarcă DLL-uri rău intenționate, înainte de a se conecta la un domeniu de comandă și control.
Din acest punct, un om real deține controlul mașinii tale (din păcate, nu ești tu). Aceștia pot identifica controlere de domeniu și conexiuni la rețea, precum și deschide documente, pot face capturi de ecran și vă pot exfiltra datele. Criminalii pot instala programe malware suplimentare și pe sistemul țintă.
Ce ar trebui să faci dacă bănuiești că ai programul malware ZetaNile?
Este puțin probabil ca persoana aflată în căutarea unui loc de muncă să știe că a instalat programe malware în rețeaua corporativă, dar MSTIC a a oferit câteva instrucțiuni utile pentru administratorii de sistem și echipele de securitate care au rămas să ridice piesele și să curețe mizerie:
- Verificați existența Amazon-KiTTY.exe, Amazon_IT_Assessment.iso, IT_Assessment.iso, amazon_assessment_test.iso, sau SecurePDF.exe pe computere.
- Scoateți C:\ProgramData\Comms\colorui.dll, și %APPDATA%\KiTTY\mscoree.dll fișiere.
- Blocați accesul la rețea 172.93.201[.]253, 137.184.15[.]189, și 44.238.74[.]84. Aceste IP-uri sunt codificate hard în malware.
- Examinați toată activitatea de autentificare pentru infrastructura de acces la distanță.
- Activați autentificarea multifactorială pentru toate sistemele.
- Educați utilizatorii despre prevenirea infecțiilor cu programe malware, precum și despre protejarea informațiilor personale și de afaceri.
Acest ultim element este deosebit de grăitor, iar aforismul conform căruia cea mai slabă verigă din lanțul de aprovizionare a securității este utilizatorul este adevărat cu un motiv. Orice problemă de software sau gaură de securitate poate fi remediată, dar este dificil să oprești persoana din spatele tastaturii să instaleze pachete nesoluționate, mai ales dacă este tentată de o slujbă nouă, bine plătită.
Pentru utilizatorii care sunt tentați să instaleze pe computerul dvs. de lucru un software nesemnificativ: pur și simplu nu. În schimb, cereți-i IT să o facă pentru dvs. (vă vor avertiza dacă ceva nu este în regulă) sau dacă este absolut necesar, apoi descărcați din sursa oficială.
Criminalii caută mereu o cale de acces în rețele
Secretele corporative sunt valoroase și întotdeauna există oameni și grupuri care caută o modalitate ușoară de a le pune mâna pe ele. Vizând persoanele aflate în căutarea unui loc de muncă, aceștia aproape că pot garanta că victima inițială nu se va implica în domeniul IT - nimeni nu vrea să fie văzut solicitând noi locuri de muncă de pe computerul de lucru. Dacă utilizați echipamentul angajatorului, ar trebui să îl utilizați numai pentru muncă. Păstrează căutarea unui loc de muncă pentru când ajungi acasă.
