Det er svært at finde et nyt job, og det er endnu sværere at få et, der passer til dine kompetencer, dine ambitioner og dit arbejdsmønster. Hvis du er i den teknologiske industri, kan svaret på den forkerte jobannonce se, at du risikerer din egen og dine nuværende arbejdsgiveres sikkerhed takket være hackede open source-apps med ZetaNile-malware. Her er hvad du behøver at vide
Hvorfor er jobsøgende i fare?
Den statssponserede nordkoreanske kriminelle hackergruppe, Lazarus, retter sig mod arbejdere inden for teknologi, forsvar og medieunderholdning. med spear phishing-angreb over Linkedin.
Ifølge Microsoft Threat Intelligence Center (MSTIC), de kriminelle – også kendt som ZINC – poserer som rekrutterere, når ud til enkeltpersoner i målrettede sektorer og opmuntrer dem til at søge ledige stillinger. Efter en tilsyneladende normal rekrutteringsproces flyttes samtaler væk fra platformen, før rekrutter bliver bedt om at downloade og installere populære open source-apps som f.eks. PuTTY SSH klient, KiTTY-terminalemulatoren og TightVNC Viewer.
Disse open source-værktøjer er almindeligt anvendt i teknologiverdenen og er bredt tilgængelige online gratis gebyr, men de versioner, der tilbydes af Lazarus over WhatsApp, er hacket for at lette leveringen af malware.
Apps distribueres som en del af en zip-arkiv eller ISO-fil, og ikke i sig selv indeholder malwaren. I stedet forbinder den eksekverbare til en IP-adresse angivet i en medfølgende tekstfil, hvorfra ZetaNile-malwaren downloades og installeres.
Lazarus bevæbner jobansøgningen på alle trin, inklusive selve ansøgningsskemaet – ansøgere opfordres til at udfylde formularen ved hjælp af en undergravet version af Sumatra PDF Reader.
Hvad er ZetaNile, og hvad gør det?
Når bagdøren er blevet hentet fra dens fjernplacering, oprettes en planlagt opgave, der garanterer vedholdenhed. Den kopierer derefter en legitim Windows-systemproces og indlæser ondsindede DLL'er, før den opretter forbindelse til et Command and Control-domæne.
Fra dette tidspunkt har et faktisk menneske kontrol over din maskine (desværre er det ikke dig). De kan identificere domænecontrollere og netværksforbindelser samt åbne dokumenter, tage skærmbilleder og eksfiltrere dine data. De kriminelle kan også installere yderligere malware på målsystemet.
Hvad skal du gøre, hvis du har mistanke om, at du har ZetaNile-malware?
Den enkelte jobsøgende er næppe klar over, at de har installeret malware på deres firmanetværk, men MSTIC har givet nogle praktiske instruktioner til systemadministratorerne og sikkerhedsholdene, som er tilbage til at samle brikkerne op og vaske rod:
- Tjek for eksistensen af Amazon-KiTTY.exe, Amazon_IT_Assessment.iso, IT_Assessment.iso, amazon_assessment_test.iso, eller SecurePDF.exe på computere.
- Fjern C:\ProgramData\Comms\colorui.dll, og %APPDATA%\KiTTY\mscoree.dll filer.
- Bloker netværksadgang til 172.93.201[.]253, 137.184.15[.]189, og 44.238.74[.]84. Disse IP'er er hårdkodet ind i malwaren.
- Gennemgå al godkendelsesaktivitet for fjernadgangsinfrastruktur.
- Aktiver multifaktorgodkendelse for alle systemer.
- Lær brugerne om at forhindre malwareinfektioner samt beskyttelse af personlige og forretningsoplysninger.
Dette sidste punkt er særligt sigende, og aforismen om, at det svageste led i sikkerhedsforsyningskæden er brugeren, er sandt af en grund. Ethvert softwareproblem eller sikkerhedshul kan løses, men det er svært at forhindre personen bag tastaturet i at installere risikable pakker – især hvis de bliver fristet af et nyt, godt betalt job.
For brugere, der er fristet til at installere sketchy software på din arbejdscomputer: lad være. Bed i stedet IT om at gøre det for dig (de vil advare dig, hvis noget er galt), eller hvis du absolut skal, så download fra den officielle kilde.
Kriminelle leder altid efter en vej ind i netværk
Virksomhedshemmeligheder er værdifulde, og der er altid mennesker og grupper, der leder efter en nem måde at få fat i dem. Ved at henvende sig til jobsøgende kan de næsten garantere, at det første offer ikke involverer IT – ingen ønsker at blive set, der søger nye job fra deres arbejdscomputer. Hvis du bruger din arbejdsgivers udstyr, bør du kun bruge det til arbejde. Gem jobsøgningen til, når du kommer hjem.
