A Lazarus nukleáris mérnököket vett célba
A Koreai Népi Demokratikus Köztársasághoz (KNDK) köthető kiberszereplő, a Lazarus csoport 2024 januárjában egy hónap alatt legalább két, meg nem nevezett, nukleáris szervezethez tartozó alkalmazottat célzott meg egy összetett fertőzési lánc segítségével. A támadások során a Lazarus egy új, CookiePlus nevű moduláris backdoor-t telepít, az Operation Dream Job néven ismert hosszú ideje tartó kiberkémkedési kampány részeként. Ezen tevékenységek során gyakran különböző vállalatok – többek között a védelmi, űrkutatási, kriptovaluta- és más globális ágazatok – fejlesztőit és alkalmazottait célozzák meg jövedelmező munkalehetőségekkel, amelyek végül rosszindulatú szoftverek telepítéséhez vezetnek a gépeiken. A Lazarus a DeathNote kampány részeként ellátási láncot érintő támadások végrehajtásában érdekelt, de ez többnyire két módszerre korlátozódik: az első egy rosszindulatú dokumentum vagy trójai PDF-megjelenítő küldése, amely a célpontnak a személyre szabott munkaköri leírásokat jeleníti meg. A második a trójaiakkal ellátott távoli hozzáférési eszközök, például a VNC vagy a PuTTY terjesztésével történik, hogy meggyőzzék a célpontokat, hogy csatlakozzanak egy adott szerverhez egy felmérés céljából. A Kaspersky által dokumentált legutóbbi támadások a második módszert alkalmazzák: a támadó egy teljesen újragondolt fertőzési láncot használ, amely egy trójai VNC segédprogramot szállít, azzal az ürüggyel, hogy a neves repülőgépipari és védelmi vállalatoknál informatikai pozíciókat betöltő szakemberek képességeit értékelje.
