Lazarus 组织通过木马 VNC 应用程序对国防专家进行虚假采访

据观察，与朝鲜有联系的Lazarus 组织（又名 Hidden Cobra 或 TEMP.Hermit）使用虚拟网络计算 (VNC) 应用程序的木马版本作为诱饵，以国防工业和核工程师为目标，作为长期活动的一部分，该活动被称为“梦想工作行动。
卡巴斯基在其 2023 年第三季度 APT 趋势报告中表示：“威胁行为者在社交媒体上诱骗求职者打开恶意应用程序进行虚假求职面试。”
“为了避免被基于行为的安全解决方案检测到，这个后门应用程序会谨慎运行，仅当用户从特洛伊木马 VNC 客户端的下拉菜单中选择服务器时才会激活。”
一旦受害者启动，该假冒应用程序就会检索额外的有效负载，其中包括名为LPEClient的已知 Lazarus Group 恶意软件，该恶意软件具有分析受感染主机的功能。
攻击者还部署了COPPERHEDGE的更新版本，这是一个以运行任意命令、执行系统侦察和窃取数据而闻名的后门，以及专门用于将感兴趣的文件传输到远程服务器的定制恶意软件。
最新行动的目标包括直接参与国防制造的企业，包括雷达系统、无人机、军用车辆、船舶、武器和海事公司。
“梦想工作行动”是指朝鲜黑客组织策划的一系列攻击，通过 LinkedIn、Telegram 和 WhatsApp 等各种平台通过可疑帐户联系潜在目标，借口提供利润丰厚的工作机会，诱骗他们安装恶意软件。
上个月末，ESET披露了Lazarus Group 针对西班牙一家未具名航空航天公司发起的攻击的细节，攻击者在 LinkedIn 上冒充 Meta 招聘人员，与该公司的员工接触，以提供名为 LightlessCan 的植入程序。
Lazarus Group 只是源自朝鲜的众多攻击性计划之一，这些计划与网络间谍活动和出于经济动机的盗窃有关。
另一个著名的黑客组织是 APT37（又名 ScarCruft），它是国家安全部的一部分，与附属的其他威胁活动集群（即 APT43、Kimsuky 和 ​​Lazarus Group（及其子组织 Andariel 和 BlueNoroff））不同。与侦察总局（RGB）合作。
谷歌旗下的 Mandiant本月早些时候透露，“虽然不同的威胁团体共享工具和代码，但朝鲜的威胁活动仍在不断适应和变化，为包括 Linux 和 macOS 在内的不同平台构建量身定制的恶意软件”，强调了它们在适应性和安全性方面的演变。复杂。

据卡巴斯基实验室称， ScarCruft使用新颖的网络钓鱼攻击链瞄准了一家与俄罗斯和朝鲜有联系的贸易公司，该攻击链最终传播了 RokRAT（又名 BlueLight）恶意软件，突显了这个隐士王国正在不断尝试针对俄罗斯。

此外，另一个值得注意的变化是 Andariel、APT38、Lazarus Group 和 APT43 等朝鲜黑客组织之间的基础设施、工具和目标重叠，这使得归因工作变得混乱，并表明对抗性活动正在简化。

Mandiant 表示，与此同时，“人们对开发 macOS 恶意软件以用于加密货币和区块链行业内高价值目标的后门平台的兴趣也日益浓厚”。