Северокорейские хакеры атакуют через LinkedIn и WhatsApp: Microsoft предупреждает о новой волне кибершпионажа

security

В последние месяцы специалисты Microsoft зафиксировали масштабную кампанию социальной инженерии, проводимую хакерской группировкой ZINC, связанной с Северной Кореей. Злоумышленники используют легитимное ПО с открытым исходным кодом для атак на сотрудников крупных компаний в США, Великобритании, Индии и России. Основными целями хакеров стали представители СМИ, оборонных и аэрокосмических предприятий, а также поставщики ИТ-услуг. Microsoft Threat Intelligence Center (MSTIC) с высокой степенью уверенности атрибутирует эту активность северокорейской группе, финансируемой государством.

Описание

Кампания началась еще в июне 2022 года и продолжается до сих пор. Злоумышленники применяют классические методы социальной инженерии: сначала они устанавливают контакт с жертвами через LinkedIn, выстраивая доверительные отношения. Затем переходят к общению в WhatsApp, где распространяют вредоносное ПО. Тактика ZINC отличается сложностью и многоэтапностью, что делает атаки особенно опасными для неподготовленных пользователей.

Аналитики MSTIC обнаружили, что группировка активно эксплуатирует популярное легальное ПО с открытым исходным кодом, включая PuTTY, KiTTY, TightVNC, Sumatra PDF Reader и muPDF/Subliminal Recording. Эти программы используются как для первоначального заражения систем, так и для последующего перемещения внутри сетей жертв с целью кражи конфиденциальных данных. По данным Microsoft, с июня 2022 года хакерам удалось скомпрометировать множество организаций, однако точное количество пострадавших пока не раскрывается.

Ранее о схожих атаках с использованием PuTTY сообщала компания Mandiant, подтверждая, что угроза остается актуальной. Поскольку злоумышленники активно применяют распространенные платформы и ПО, их действия представляют серьезную опасность для компаний по всему миру. Эксперты отмечают, что ZINC ориентирована не только на шпионаж, но и на финансовую наживу, а также на дестабилизацию работы критически важных инфраструктур.

Microsoft рекомендует организациям усилить защиту, внедряя многофакторную аутентификацию, обучая сотрудников основам кибербезопасности и регулярно обновляя программное обеспечение. Особое внимание следует уделить проверке подозрительных сообщений в соцсетях и мессенджерах - именно через них чаще всего происходит заражение.

Кибербезопасность становится одной из ключевых проблем современного цифрового мира, и подобные инциденты лишь подтверждают необходимость глобального сотрудничества в борьбе с киберпреступностью. Только комплексные меры защиты и оперативное реагирование на угрозы позволят минимизировать риски для бизнеса и государственных структур. Пользователям же стоит оставаться бдительными и осторожными при общении в интернете, особенно с незнакомцами, предлагающими подозрительные файлы или ссылки.

Индикаторы компрометации

IPv4

  • 137.184.15.189
  • 172.93.201.253
  • 44.238.74.84

URLs

  • http://cats.runtimerec.com/db/dbconn.php
  • http://elite4print.com/support/support.asp
  • http://hurricanepub.com/include/include.php
  • http://olidhealth.com/wp-includes/php-compat/compat.php
  • http://recruitment.raystechserv.com/lib/artichow/BarPlotDashboard.object.php
  • http://turnscor.com/wp-includes/contacts.php

SHA256

  • 1492fa04475b89484b5b0a02e6ba3e52544c264c294b57210404b96b65e63266
  • 14f736b7df6a35c29eaed82a47fc0a248684960aa8f2222b5ab8cdad28ead745
  • 37e30dc2faaabaf93f0539ffbde032461ab63a2c242fbe6e1f60a22344c8a334
  • 63cddab76e9d63e3cbea421b607342735d924e462c40f3917b1b5fbdf8d4a20d
  • 71beb4252e93291c7b14dfcb4cbb5d58144a76181fbe4aab3592121a3dbd9c55
  • aaad412aeb0f98c2c27bb817682f08673902a48b65213091534f96fe6f5494d9
  • c5a470cdf6f57125a8671f6b8843149cc78ccbc1a7bc615f34b23d9f241312bf
  • e1ecf0f7bd90553baaa83dcdc177e1d2b20d6ee5520f5d9b44cdf59389432b10
Комментарии: 0