Uue töö leidmine on raske ja veelgi keerulisem on leida seda, mis sobib teie oskuste, ambitsioonide ja töömudeliga. Kui töötate tehnoloogiatööstuses, võite valele töökuulutusele vastamisel ohtu seada nii enda kui ka praeguste tööandjate turvalisuse tänu ZetaNile'i pahavara sisaldavatele avatud lähtekoodiga rakendustele. Siin on, mida peate teadma
Miks on tööotsijad ohus?
Riigi rahastatud Põhja-Korea kuritegelik häkkimisrühmitus Lazarus võtab sihikule tehnoloogia, kaitse ja meedia meelelahutusvaldkonna töötajad andmepüügi rünnakutega üle Linkedini.
Vastavalt Microsofti ohtude luurekeskus (MSTIC), kurjategijad (tuntud ka kui ZINC) esinevad värbajatena, jõudes sihtsektorite inimesteni ja julgustades neid kandideerima avatud ametikohtadele. Pärast näiliselt tavalist värbamisprotsessi viiakse vestlused platvormilt välja, enne kui värbajatel palutakse alla laadida ja installida populaarseid avatud lähtekoodiga rakendusi, nagu PuTTY SSH klient, KiTTY terminali emulaator ja TightVNC Viewer.
Neid avatud lähtekoodiga tööriistu kasutatakse tehnikamaailmas tavaliselt ja need on veebis tasuta saadaval tasuta, kuid Lazaruse WhatsAppi kaudu pakutavad versioonid häkitakse kohaletoimetamise hõlbustamiseks pahavara.
Rakendusi levitatakse osana a zip arhiiv või ISO-faili ega sisalda ise pahavara. Selle asemel loob täitmisfail ühenduse kaasasolevas tekstifailis määratud IP-aadressiga, kust ZetaNile'i pahavara alla laaditakse ja installitakse.
Lazarus relvastab töötaotluse igas etapis, sealhulgas kandideerimisvormi endas – taotlejatel soovitatakse vorm täita, kasutades Sumatra PDF Readeri moonutatud versiooni.
Mis on ZetaNile ja mida see teeb?
Kui tagauks on selle kaugemast asukohast välja toodud, luuakse ajastatud ülesanne, mis tagab püsivuse. Seejärel kopeerib see seadusliku Windowsi süsteemiprotsessi ja laadib enne Command and Control domeeniga ühenduse loomist pahatahtlikud DLL-id.
Sellest hetkest alates kontrollib teie masinat tegelik inimene (kahjuks pole see teie). Nad suudavad tuvastada domeenikontrollereid ja võrguühendusi, samuti avada dokumente, teha ekraanipilte ja teie andmeid välja filtreerida. Kurjategijad võivad sihtsüsteemi installida ka täiendavat pahavara.
Mida peaksite tegema, kui kahtlustate, et teil on ZetaNile'i pahavara?
Tõenäoliselt ei tea üksik tööotsija, et ta on oma ettevõtte võrku pahavara installinud, kuid MSTIC on andis mõned käepärased juhised süsteemiadministraatoritele ja turvameeskondadele, kes peavad tükid üles korjama ja segadus:
- Kontrollige olemasolu Amazon-KiTTY.exe, Amazon_IT_Assessment.iso, IT_Assessment.iso, amazon_assessment_test.iso, või SecurePDF.exe arvutites.
- Eemalda C:\ProgramData\Comms\colorui.dllja %APPDATA%\KiTTY\mscoree.dll failid.
- Blokeeri juurdepääs võrgule 172.93.201[.]253, 137.184.15[.]189ja 44.238.74[.]84. Need IP-d on pahavara sisse kodeeritud.
- Vaadake üle kõik kaugjuurdepääsu infrastruktuuri autentimistoimingud.
- Luba mitmefaktoriline autentimine kõigi süsteemide jaoks.
- Õpetage kasutajaid pahavaraga nakatumise vältimise ning isikliku ja äriteabe kaitsmise kohta.
See viimane punkt on eriti kõnekas ja aforism, et turvatarneahela nõrgim lüli on kasutaja, on põhjusega tõsi. Iga tarkvaraprobleemi või turvaauku saab parandada, kuid klaviatuuri taga olevat inimest on raske takistada veidrate pakettide installimisest – eriti kui teda ahvatleb uus hästitasustatud töö.
Kasutajatele, kellel on kiusatus oma tööarvutisse visandilist tarkvara installida: lihtsalt ärge seda tehke. Selle asemel paluge IT-l seda teie eest teha (nad hoiatavad teid, kui midagi on valesti) või kui peate seda tingimata tegema, laadige alla ametlikust allikast.
Kurjategijad otsivad alati teed võrkudesse
Ettevõtte saladused on väärtuslikud ja alati leidub inimesi ja rühmitusi, kes otsivad lihtsat viisi nende kättesaamiseks. Tööotsijaid sihtides saavad nad peaaegu garanteerida, et esmane ohver ei puutu IT-sse – keegi ei taha, et teda nähakse oma tööarvuti kaudu uutele töökohtadele kandideerimas. Kui kasutate oma tööandja seadmeid, peaksite neid kasutama ainult tööks. Jätke tööotsimine koju jõudmiseks.