Nájsť si novú prácu je ťažké a ešte zložitejšie je získať takú, ktorá vyhovuje vašim schopnostiam, ambíciám a pracovným vzorom. Ak ste v technologickom priemysle, odpovedaním na nesprávny pracovný inzerát môžete vidieť, že riskujete svoju vlastnú bezpečnosť a bezpečnosť vašich súčasných zamestnávateľov vďaka napadnutým aplikáciám s otvoreným zdrojovým kódom nesúcim malvér ZetaNile. Tu je to, čo potrebujete vedieť
Prečo sú uchádzači o zamestnanie ohrození?
Štátom sponzorovaná severokórejská kriminálna hackerská skupina Lazarus sa zameriava na pracovníkov v oblasti technológií, obrany a mediálnej zábavy. so spear phishingovými útokmi cez Linkedin.
Podľa Microsoft Threat Intelligence Center (MSTIC), zločinci - tiež známi ako ZINC - vystupujú ako náborári, oslovujú jednotlivcov v cieľových sektoroch a povzbudzujú ich, aby sa uchádzali o otvorené pozície. Po zdanlivo normálnom náborovom procese sa konverzácie presunú mimo platformu a potom sú regrúti požiadaní, aby si stiahli a nainštalovali populárne aplikácie s otvoreným zdrojovým kódom, ako napr.
PuTTY SSH klient, emulátor terminálu KiTTY a prehliadač TightVNC.Tieto open source nástroje sa bežne používajú v technologickom svete a sú široko dostupné online zadarmo poplatok, ale verzie, ktoré ponúka Lazarus cez WhatsApp, sú napadnuté, aby sa uľahčilo doručenie malvér.
Aplikácie sú distribuované ako súčasť a zip archív alebo ISO a samy o sebe neobsahujú malvér. Namiesto toho sa spustiteľný súbor pripojí k IP adrese špecifikovanej v sprievodnom textovom súbore, odkiaľ sa stiahne a nainštaluje malvér ZetaNile.
Lazarus vyzbrojuje žiadosť o zamestnanie v každej fáze, vrátane samotného formulára žiadosti – uchádzačom sa odporúča vyplniť formulár pomocou podvrátenej verzie aplikácie Sumatra PDF Reader.
Čo je ZetaNile a čo robí?
Po získaní zadného vrátka zo vzdialeného miesta sa vytvorí naplánovaná úloha, ktorá zaručí trvalosť. Potom skopíruje legitímny systémový proces Windows a načíta škodlivé knižnice DLL pred pripojením k doméne Command and Control.
Od tohto bodu má váš stroj pod kontrolou skutočný človek (žiaľ, nie ste to vy). Môžu identifikovať radiče domény a sieťové pripojenia, ako aj otvárať dokumenty, vytvárať snímky obrazovky a exfiltrovať vaše údaje. Zločinci môžu nainštalovať ďalší malvér aj do cieľového systému.
Čo by ste mali robiť, ak máte podozrenie, že máte ZetaNile malware?
Je nepravdepodobné, že by si jednotlivý uchádzač o zamestnanie uvedomil, že vo svojej podnikovej sieti nainštaloval malvér, ale MSTIC áno poskytol niekoľko užitočných inštrukcií pre systémových administrátorov a bezpečnostné tímy, ktorí sú ponechaní na to, aby pozbierali kúsky a vyčistili neporiadok:
- Skontrolujte existenciu Amazon-KiTTY.exe, Amazon_IT_Assessment.iso, IT_Assessment.iso, amazon_assessment_test.iso, alebo SecurePDF.exe na počítačoch.
- Odstrániť C:\ProgramData\Comms\colorui.dll, a %APPDATA%\KiTTY\mscoree.dll súbory.
- Blokovať prístup k sieti 172.93.201[.]253, 137.184.15[.]189, a 44.238.74[.]84. Tieto adresy IP sú napevno zakódované do škodlivého softvéru.
- Skontrolujte všetky aktivity overovania pre infraštruktúru vzdialeného prístupu.
- Povoliť viacfaktorové overenie pre všetky systémy.
- Poučte používateľov o predchádzaní infekciám škodlivým softvérom, ako aj o ochrane osobných a obchodných informácií.
Táto posledná položka je obzvlášť výrečná a aforizmus, že najslabším článkom v bezpečnostnom dodávateľskom reťazci je používateľ, je z nejakého dôvodu pravdivý. Akýkoľvek problém so softvérom alebo bezpečnostná diera sa dá opraviť, ale je ťažké zabrániť tomu, aby osoba za klávesnicou inštalovala riskantné balíčky – najmä ak ich láka nová, dobre platená práca.
Pre používateľov, ktorí sú v pokušení nainštalovať si na pracovný počítač útržkovitý softvér: jednoducho to nerobte. Namiesto toho požiadajte IT, aby to urobilo za vás (upozorní vás, ak niečo nie je v poriadku), alebo ak to absolútne musíte, stiahnite si z oficiálneho zdroja.
Zločinci vždy hľadajú cestu do sietí
Firemné tajomstvá sú cenné a vždy sa nájdu ľudia a skupiny, ktoré hľadajú jednoduchý spôsob, ako ich získať. Zameraním sa na uchádzačov o zamestnanie môžu takmer zaručiť, že prvá obeť nezapojí IT – nikto nechce byť videný, ako sa uchádza o nové pracovné miesta zo svojho pracovného počítača. Ak používate vybavenie svojho zamestnávateľa, mali by ste ho používať iba na prácu. Hľadanie práce si odložte, keď sa vrátite domov.