Microsoft обвинила хакерскую группировку Lazarus (ZINC), которая, предположительно поддерживается правительством Северной Кореи, в проведении серии атак с использованием модифицированного программного обеспечения с открытым исходным кодом, такого как PuTTY, KiTTY, TightVNC, Sumatra PDF Reader и др. Такой подход позволил хакерам скомпрометировать «множество» организаций в оборонной и аэрокосмической промышленности, СМИ, а также в сфере IT.
Согласно имеющимся данным, злоумышленники интегрируют вредоносный код в открытое ПО, после чего подталкивают жертв к использованию таких модифицированных утилит, что приводит к компрометации систем. Чтобы завоевать доверие жертвы хакеры выдают себя за рекрутеров разных компаний и связываются с сотрудниками целевых организаций через LinkedIn.
После установления доверительных отношений в ходе ряда бесед общение переводится в мессенджер WhatsApp. Через него хакеры распространяю модифицированные утилиты и убеждают сотрудников целевых компаний в необходимости их использования. После запуска такого ПО на целевом компьютере система становится скомпрометированной и в неё загружается другое вредоносное ПО.
«С июня 2022 года злоумышленники сумели скомпрометировать множество организаций. Из-за широкого спектра используемых платформ и программного обеспечения, применяемых ZINC в рамках этой кампании, ZINC может представлять серьёзную угрозу для отдельных лиц и организаций в разных секторах и регионах», — говорится в сообщении Microsoft Security Threat Intelligence и LinkedIn Threat Prevention and Defense.
