به گفته تحلیلگران تهدید از گروه تحقیقاتی تهدید مداوم پیشرفته مایکروسافت (APT)، یک خدمه هک فیشینگ از نیروهای مسلح کره شمالی از برنامههای منبع باز تروجانی و طعمه استخدام لینکدین برای ضربه زدن به کارکنان صنعت فناوری استفاده کردهاند.
به گفته مایکروسافت، اهداف از لینکدین به واتس اپ هدایت شدند تا بدافزار را به اشتراک بگذارند و شامل کارکنان پشتیبانی فناوری اطلاعات و فناوری اطلاعات در شرکت هایی در ایالات متحده، بریتانیا و هند می شد. گروه تحلیل تهدیدات گوگل (TAG) این گروه را با استفاده از توییتر، Discord، YouTube، Telegram، Keybase و ایمیل پیدا کرد. با تاکتیک های مشابه ژانویه گذشته.
“هدفها متناسب با حرفه یا پیشینهی خود دسترسی به آنها دریافت کردند و تشویق شدند برای یک موقعیت باز در یکی از چندین شرکت قانونی درخواست دهند. مطابق با خطمشیهای آنها، برای حسابهای شناساییشده در این حملات، لینکدین به سرعت حسابهای مرتبط با رفتار غیراصیل یا متقلبانه را فسخ کرد. “
MSTIC هشدار داد: “ZINC در درجه اول مهندسین و متخصصان پشتیبانی فنی را هدف قرار می دهد که در شرکت های رسانه و فناوری اطلاعات مستقر در بریتانیا، هند و ایالات متحده کار می کنند.”
“محققان مایکروسافت فیشینگ نیزه ای را به عنوان یک تاکتیک اولیه بازیگران ZINC مشاهده کرده اند، اما آنها همچنین با استفاده از سازش های استراتژیک وب سایت و مهندسی اجتماعی در سراسر رسانه های اجتماعی برای دستیابی به اهداف خود مشاهده شده اند.” یادداشت های MSTIC.
این گروه هکر کارکنان رسانه، دفاع و هوافضا و خدمات فناوری اطلاعات در ایالات متحده، بریتانیا، هند و روسیه را هدف قرار داده است. این گروه همچنین پشت حمله گسترده به Sony Pictures Entertainment در سال 2014 بود.
مرکز اطلاعات تهدید مایکروسافت (MSTIC، تلفظ Mystic) این گروه را از اواخر آوریل مشاهده کرده است که از PuTTY، KiTTY، TightVNC، Sumatra PDF Reader و نصب کننده نرم افزار muPDF/Subliminal Recording برای این حملات استفاده می کنند. با توجه به پست وبلاگ MSTIC.
مایکروسافت اقدامات خود را در تیم امنیتی لینکدین افزایش داده است تا هکرهای کره شمالی را از ایجاد حسابهای جعلی برای فریب دادن مهندسان نرمافزار و کارکنان پشتیبانی فناوری اطلاعات با پیشنهادات شغلی جعلی که منجر به بدافزار میشود، متوقف کند.
همچنین به عنوان لازاروس شناخته می شود و توسط مایکروسافت با نام ZINC، تحلیلگران تهدید Mandiant در Google Cloud ردیابی می شود. گروه را دید با استفاده از واتس اپ برای به اشتراک گذاشتن یک نمونه تروجانی شده از PuTTY، در بخش های فناوری و رسانه با پیشنهادهای شغلی جعلی در ماه ژوئیه، اهداف فیشینگ نیزه ای را هدف قرار می دهد.