Overslaan en naar de inhoud gaan

Cybercriminelen doen zich voor als recruiters voor aanvallen

Cybercriminelen van de groep Lazarus hebben zich voorgedaan als recruiters, om zo malware te verspreiden binnen diverse bedrijven. Dat stellen onderzoekers van beveiligingsbedrijf ESET, dat tijdens de ESET World-conferentie inzichten in meerdere campagnes van de groep deelde. Ook Nederlandse bedrijven waren het doelwit van de groepering.
Netwerkbeveiliging
© Shutterstock.com
Shutterstock.com

Cybercriminelen uit een subgroep van Lazarus - dat door experts aan Noord-Korea wordt gelinkt - voerden in 2020 al een campagne uit tegen Europese luchtvaartmaatschappijen en leveranciers uit de defensie-industrie. Bijzonder aan die campagne is dat er sociale media, en dan vooral LinkedIn, werden gebruikt om vertrouwen op te bouwen tussen de aanvaller en een werknemer bij het doelwit.

De handelswijze ziet er als volgt uit: een aanvaller doet zich voor als een recruiter en neemt contact op met de werknemer. Vervolgens stuurt de aanvaller het doelwit malafide documenten die eruitzagen als baanbeschrijvingen of sollicitatieformulieren. Daarvoor werden ook legitieme vacatures gebruikt, om werknemers ervan te overtuigen dat het om een echte baan gaat. 

In eerste instantie dachten onderzoekers van ESET dat de campagne vooral gericht was op Europese bedrijven, maar al snel ontdekten ze vergelijkbare acties tegen leveranciers uit de defensie-industrie. Welke malware precies gebruikt werd in campagnes verschilde, maar de handelwijze bleef altijd hetzelfde. Naast LinkedIn werden ook Slack en WhatsApp voor de campagnes gebruikt. Doelwitten zaten in Europese landen als Nederland, Frankrijk en Italië, het Midden-Oosten en Latijns-Amerika. 

Andere campagnes

Volgens Jean-Ian Boutin, directeur van ESET Threat Research, toonde Lazarus in 2021 en 2022 ook met andere campagnes "vindingrijkheid" door verschillende toolsets in te zetten. "Bijvoorbeeld een user mode-component, dat een kwetsbare Dell-driver kan misbruiken om naar het kernelgeheugen te schrijven. Deze geavanceerde truc werd gebruikt in een poging om beveiligingsmonitoring te omzeilen." 

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in