Kuzey Koreli gelişmiş kalıcı tehdit (APT) grubu Lazarus (namı diğer UNC290), geçen Haziran ayından bu yana LinkedIn üzerinden bir kimlik avı kampanyasıyla güvenlik araştırmacılarını hedefliyor.
Mandiant, kimlik avı saldırılarının ABD merkezli bir teknoloji şirketine karşı başladığını bildirdi ve tehdit aktörlerinin faaliyetlerinde Touchmove, Sideshow ve Touchshift olmak üzere üç yeni kod ailesini kullandıklarına dikkat çekti.
Mandiant, LinkedIn’de işe alım görevlisi kılığına giren grubun kurbanın güvenini kazanmaya çalıştığını ve ardından onları WhatsApp veya e-posta yoluyla ikna ederek kötü amaçlı yazılım damlatıcı gönderebileceklerini açıkladı.
“Bu kampanyanın tanımlanmasının ardından, Mandiant, ABD ve Avrupa medya kuruluşlarını hedef alan çoklu UNC2970 izinsiz girişlerine, işe alma teması kullanan ve grupların bulut ortamlarında ve uç nokta algılama ve yanıt (EDR) araçlarına karşı çalışma becerisinde ilerlemeler gösteren hedefli kimlik avı aracılığıyla yanıt verdi.” ortaya çıkan kimlik avı kampanyası.