به گزارش کارگروه حملات سایبری سایبربان؛ طبق تحقیقات جدید شرکت امنیتی کسپرسکی، گروه هکری لازاروس کره شمالی عامل حملات فیشینگ هدف دار به شرکت های دفاعی و سرقت اطلاعات مهم آن هاست.
ظاهرا این گروه اهداف خود را با استفاده از یک بدافزار پیشرفته به نام ThreatNeedle عملی کرده است.
در این کمپین جاسوسی مهاجمین از طریق ارسال ایمیلی مرتبط با کرونا و نشان دادن اطلاعات شخصی افراد، آن ها را در دام خود گرفتار می کردند. این فعالیت ها از اواسط سال 2020 مشاهده شده اند.
طبق گفته محققین کسپرسکی، ارگان هایی در بیش از 12 کشور تحت الشعاع این کمپین سایبری قرار گرفته اند. اطلاعات مهم این شرکت ها سرقت شده و به سرورهای تحت کنترل لازاروس فرستاده شده است.
طبق ادعای محققین، آن ها حدود دو سال است بدافزار پیشرفته ThreatNeedle را دنبال می کنند و آن را با گروه هکری لازاروس مرتبط دانسته اند.
به اعتقاد کسپرسکی، گروه لازاروس فعال ترین گروه هکری در سال 2020 بوده و صنایع زیادی را مورد هدف قرار داده است.
طبق گزارشات، لازاروس قبل از انجام حمله، اطلاعات مربوط به اهداف خود را مورد مطالعه قرار می داد و ایمیل دپارتمان های مختلف شرکت هدف را شناسایی می کرد.
این ایمیل دارای یک فایل ورد مخرب یا لینکی به این فایل است که بر روی سرور از راه دور ایمیل های شرکت هدف وجود دارد.
این ایمیل های فیشینگ به صورت دقیقی توسط هکرها طراحی شده است به طوری که خود را به عنوان یک مرکز پزشکی متعلق به شرکت هدف معرفی می کند. آن ها همچنین در جهت فریب اهداف خود، از امضای پزشک مرکز هدف سوء استفاده می کنند.بسته داده های بدافزاری این حمله در یک فایل ضمیمه ورد پنهان شده است.
این حملات در ابتدا ناموفق بود اما نهایتا در 3 ژوئن کارمندان شرکت هدف فایل ورد را باز کردند و این اجازه را به هکرها دادند تا کنترل سیستم های آلوده را از راه دور به دست بگیرند.
به گفته محققین کسپرسکی، مهاجمین پس از ورود به سیستم اهداف خود، شروع به جمع آوری داده های مربوط به احراز هویت می کنند و سپس به دنبال دارایی های مهم قربانی در محیط کاربری آن ها می گردند.
هکرها همچنین توانستند با دسترسی به یک دستگاه روتر داخلی و پیکربندی آن به عنوان یک سرور پراکسی، فرآیند تفکیک شبکه را دور بزنند و با استفاده از ابزارهای به خصوص، داده های سرقت شده را به سرورهای خود بفرستند.
