Skupina Lazarus, nechvalně známá hackerská skupina spojená s Korejskou lidově demokratickou republikou (KLDR), byla pozorována při využívání „komplexního řetězce infekce“, který cílil na nejméně dva zaměstnance nejmenované organizace související s jadernou energií během jednoho měsíce v lednu 2024.

Útoky, které vyvrcholily nasazením nového modulárního zadního vrátka označovaného jako CookiePlus, jsou součástí dlouhodobé kybernetické špionážní kampaně známé jako Operation Dream Job, která je také sledována pod názvem NukeSped společností Kaspersky. Tato kampaň je aktivní minimálně od roku 2020, kdy ji odhalila společnost ClearSky.

Tyto aktivity často zahrnují cílení na vývojáře a zaměstnance v různých společnostech, včetně obrany, letectví, kryptoměn a dalších globálních sektorů, prostřednictvím lukrativních pracovních nabídek, které nakonec vedou k nasazení malwaru na jejich zařízení.

„Lazarus má zájem provádět útoky na dodavatelské řetězce v rámci kampaně DeathNote, ale to je většinou omezeno na dvě metody: první je zaslání škodlivého dokumentu nebo trojanizovaného prohlížeče PDF, který zobrazuje přizpůsobené popisy pracovních pozic cíli,“ uvedla ruská firma v podrobné analýze.

„Druhá metoda spočívá v distribuci trojanizovaných nástrojů pro vzdálený přístup, jako je VNC nebo PuTTY, aby přesvědčili cíle připojit se k určitému serveru pro hodnocení dovedností.“

Nejnovější sada útoků zdokumentovaných společností Kaspersky zahrnuje druhou metodu, přičemž protivník využívá zcela přepracovaný řetězec infekce, který doručuje trojanizovaný nástroj VNC pod záminkou provádění hodnocení dovedností pro IT pozice ve významných leteckých a obranných společnostech.

Za zmínku stojí, že použití falešných verzí aplikací VNC skupinou Lazarus k cílení na jaderné inženýry bylo dříve zdůrazněno společností v říjnu 2023 v její zprávě o trendech APT za třetí čtvrtletí 2023.

Zdroj: thehackernews