В последние месяцы специалисты Microsoft зафиксировали масштабную кампанию социальной инженерии, проводимую хакерской группировкой ZINC, связанной с Северной Кореей. Злоумышленники используют легитимное ПО с открытым исходным кодом для атак на сотрудников крупных компаний в США, Великобритании, Индии и России. Основными целями хакеров стали представители СМИ, оборонных и аэрокосмических предприятий, а также поставщики ИТ-услуг. Microsoft Threat Intelligence Center (MSTIC) с высокой степенью уверенности атрибутирует эту активность северокорейской группе, финансируемой государством.
Описание
Кампания началась еще в июне 2022 года и продолжается до сих пор. Злоумышленники применяют классические методы социальной инженерии: сначала они устанавливают контакт с жертвами через LinkedIn, выстраивая доверительные отношения. Затем переходят к общению в WhatsApp, где распространяют вредоносное ПО. Тактика ZINC отличается сложностью и многоэтапностью, что делает атаки особенно опасными для неподготовленных пользователей.
Аналитики MSTIC обнаружили, что группировка активно эксплуатирует популярное легальное ПО с открытым исходным кодом, включая PuTTY, KiTTY, TightVNC, Sumatra PDF Reader и muPDF/Subliminal Recording. Эти программы используются как для первоначального заражения систем, так и для последующего перемещения внутри сетей жертв с целью кражи конфиденциальных данных. По данным Microsoft, с июня 2022 года хакерам удалось скомпрометировать множество организаций, однако точное количество пострадавших пока не раскрывается.
Ранее о схожих атаках с использованием PuTTY сообщала компания Mandiant, подтверждая, что угроза остается актуальной. Поскольку злоумышленники активно применяют распространенные платформы и ПО, их действия представляют серьезную опасность для компаний по всему миру. Эксперты отмечают, что ZINC ориентирована не только на шпионаж, но и на финансовую наживу, а также на дестабилизацию работы критически важных инфраструктур.
Microsoft рекомендует организациям усилить защиту, внедряя многофакторную аутентификацию, обучая сотрудников основам кибербезопасности и регулярно обновляя программное обеспечение. Особое внимание следует уделить проверке подозрительных сообщений в соцсетях и мессенджерах - именно через них чаще всего происходит заражение.
Кибербезопасность становится одной из ключевых проблем современного цифрового мира, и подобные инциденты лишь подтверждают необходимость глобального сотрудничества в борьбе с киберпреступностью. Только комплексные меры защиты и оперативное реагирование на угрозы позволят минимизировать риски для бизнеса и государственных структур. Пользователям же стоит оставаться бдительными и осторожными при общении в интернете, особенно с незнакомцами, предлагающими подозрительные файлы или ссылки.
Индикаторы компрометации
IPv4
- 137.184.15.189
- 172.93.201.253
- 44.238.74.84
URLs
- http://cats.runtimerec.com/db/dbconn.php
- http://elite4print.com/support/support.asp
- http://hurricanepub.com/include/include.php
- http://olidhealth.com/wp-includes/php-compat/compat.php
- http://recruitment.raystechserv.com/lib/artichow/BarPlotDashboard.object.php
- http://turnscor.com/wp-includes/contacts.php
SHA256
- 1492fa04475b89484b5b0a02e6ba3e52544c264c294b57210404b96b65e63266
- 14f736b7df6a35c29eaed82a47fc0a248684960aa8f2222b5ab8cdad28ead745
- 37e30dc2faaabaf93f0539ffbde032461ab63a2c242fbe6e1f60a22344c8a334
- 63cddab76e9d63e3cbea421b607342735d924e462c40f3917b1b5fbdf8d4a20d
- 71beb4252e93291c7b14dfcb4cbb5d58144a76181fbe4aab3592121a3dbd9c55
- aaad412aeb0f98c2c27bb817682f08673902a48b65213091534f96fe6f5494d9
- c5a470cdf6f57125a8671f6b8843149cc78ccbc1a7bc615f34b23d9f241312bf
- e1ecf0f7bd90553baaa83dcdc177e1d2b20d6ee5520f5d9b44cdf59389432b10