Lazarus Group IT-munkás műveletek
Az ANY.RUN jelentése szerint a Lazarus 2024 óta olyan támadássorozatot futtat, amelynek lényege, hogy az operátoraik, jellemzően észak-koreai állampolgárok, hamis állásajánlatokkal jelentkeznek nyilvános állásportálokon, GitHub-on vagy közösségi médiában. Az ajánlatok IT-munkahelyre szólnak, gyakran távmunka-formában, céges laptopot és magas fizetést ígérve, így elhitetik, hogy legális, vonzó állásról van szó.
Ha a megcélzott, általában fejlesztőként, kripto- vagy fintech-cégnél dolgozó, jelentkező belemegy, a támadók valójában nem neki adják a munkát, hanem ghost-munkásokon keresztül számítógépeket és távoli hozzáféréseket biztosítanak, a valós feladatokat külső operátorok végzik, a front személy csak a fedőarc. Így a rosszindulatú operátorok belső hozzáférést kapnak a céges hálózathoz, hitelesítő adatokhoz, kripto-walletekhez vagy szerverekhez.
Az ANY.RUN-nál élő sandbox farmon dolgozva a kutatók rögzítették a folyamatot, az interjúk, hitelesítés-kérések, távoli belépések, a fejlesztői környezet megnyitása, a VPN/remote-desktop beállítása és az adatok távoli küldése mind dokumentálva lett. Így például látható volt, hogy a munkavállalók részletes rendszer- és hardver-diagnosztikát kértek, hogy a laptop valódi, működő gépnek tűnjön.
A módszer mögött nem elsősorban bonyolult zero-day exploitok állnak, a siker kulcsa a pszichológiai megtévesztés (social engineering), személyes identitás hamisítása, emberi bizalom felépítése, és arra játszás, hogy szabályosnak tűnjenek az ajánlatok. A jelentés szerint sokszor nincs szükség extra malware-re, pusztán a jogosultságokkal rendelkező belépés és jogosultság-átadás elegendő a kompromisszumhoz.
