يعد العثور على وظيفة جديدة أمرًا صعبًا ، بل إنه من الأصعب أن تحصل على وظيفة تناسب مجموعة مهاراتك وطموحاتك ونمط عملك. إذا كنت تعمل في مجال التكنولوجيا ، فإن الرد على إعلان الوظيفة الخاطئ يمكن أن يراك تخاطر بأمانك وأمن أصحاب العمل الحاليين لديك ، وذلك بفضل التطبيقات مفتوحة المصدر المخترقة التي تحمل برامج ZetaNile الضارة. إليك ما تحتاج إلى معرفته
لماذا الباحثون عن عمل في خطر؟
تستهدف جماعة القرصنة الإجرامية الكورية الشمالية Lazarus التي ترعاها الدولة العاملين في مجالات التكنولوجيا والدفاع والترفيه الإعلامي بهجمات التصيد بالرمح عبر لينكد إن.
وفق مركز ذكاء تهديدات Microsoft (MSTIC) ، يتظاهر المجرمون - المعروفون أيضًا باسم ZINC - بأنهم مجندون ، ويتواصلون مع الأفراد في القطاعات المستهدفة ، ويشجعونهم على التقدم لشغل وظائف شاغرة. بعد عملية تجنيد تبدو طبيعية ، يتم نقل المحادثات خارج النظام الأساسي ، قبل أن يُطلب من المجندين تنزيل وتثبيت تطبيقات مفتوحة المصدر شائعة مثل عميل PuTTY SSHومحاكي طرفي KiTTY و TightVNC Viewer.
تُستخدم هذه الأدوات مفتوحة المصدر بشكل شائع في عالم التكنولوجيا ، وهي متاحة على نطاق واسع عبر الإنترنت مجانًا المسؤول ، ولكن الإصدارات التي يقدمها Lazarus عبر WhatsApp يتم اختراقها لتسهيل توصيل ملفات البرمجيات الخبيثة.
يتم توزيع التطبيقات كجزء من ملف أرشيف مضغوط أو ملف ISO ، ولا تحتوي في حد ذاتها على البرامج الضارة. بدلاً من ذلك ، يتصل الملف القابل للتنفيذ بعنوان IP المحدد في ملف نصي مرفق ، حيث يتم تنزيل البرامج الضارة ZetaNile وتثبيتها.
يقوم Lazarus بتسليح طلب الوظيفة في كل مرحلة ، بما في ذلك نموذج الطلب نفسه - يتم تشجيع المتقدمين على ملء النموذج باستخدام نسخة مخربة من Sumatra PDF Reader.
ما هو ZetaNile وماذا يفعل؟
بمجرد استرداد الباب الخلفي من موقعه البعيد ، يتم إنشاء مهمة مجدولة ، مما يضمن الاستمرار. يقوم بعد ذلك بنسخ عملية نظام Windows شرعية ، وتحميل مكتبات DLL الضارة ، قبل الاتصال بمجال الأوامر والتحكم.
من هذه النقطة ، يتحكم الإنسان الفعلي في جهازك (للأسف ، ليس أنت). يمكنهم تحديد وحدات التحكم بالمجال واتصالات الشبكة ، بالإضافة إلى فتح المستندات والتقاط لقطات شاشة وسحب بياناتك. يمكن للمجرمين تثبيت برامج ضارة إضافية على النظام المستهدف أيضًا.
ماذا يجب أن تفعل إذا كنت تشك في وجود برنامج ضار من ZetaNile؟
من غير المرجح أن يدرك الباحث عن عمل أنه قام بتثبيت برامج ضارة على شبكة الشركة الخاصة به ، ولكن MSTIC لديها قدمت بعض الإرشادات المفيدة لمسؤولي النظام وفرق الأمن الذين تُركوا لالتقاط القطع ومسح فوضى:
- تحقق من وجود أمازون- KiTTY.exe, Amazon_IT_Assessment.iso, IT_Assessment.iso, amazon_assessment_test.iso، أو SecurePDF.exe على أجهزة الكمبيوتر.
- مسح ال C: \ ProgramData \ Comms \ colorui.dll، و ٪ APPDATA٪ \ KiTTY \ mscoree.dll الملفات.
- حظر الوصول إلى الشبكة إلى 172.93.201[.]253, 137.184.15[.]189، و 44.238.74[.]84. يتم ترميز عناوين IP هذه في البرامج الضارة.
- مراجعة كافة أنشطة المصادقة للبنية التحتية للوصول عن بعد.
- تمكين المصادقة متعددة العوامل لجميع الأنظمة.
- توعية المستخدمين حول منع الإصابة بالبرامج الضارة ، وكذلك حماية المعلومات الشخصية والتجارية.
هذا العنصر الأخير معبر بشكل خاص ، والقول المأثور بأن أضعف حلقة في سلسلة التوريد الأمنية هو المستخدم ، صحيح لسبب ما. يمكن إصلاح أي مشكلة برمجية أو ثغرة أمنية ، ولكن من الصعب منع الشخص الذي يقف خلف لوحة المفاتيح من تثبيت حزم المراوغة - خاصةً إذا تم إغرائه بوظيفة جديدة ذات أجر جيد.
بالنسبة للمستخدمين الذين يميلون إلى تثبيت برامج سطحية على كمبيوتر العمل الخاص بك: ببساطة لا تفعل ذلك. بدلاً من ذلك ، اطلب من قسم تكنولوجيا المعلومات القيام بذلك نيابةً عنك (سيحذرونك إذا كان هناك شيء ما غير صحيح) ، أو إذا كان عليك فعل ذلك ، فقم بالتنزيل من المصدر الرسمي.
يبحث المجرمون دائمًا عن طريقة للوصول إلى الشبكات
تعتبر أسرار الشركة ذات قيمة ، وهناك دائمًا أشخاص ومجموعات يبحثون عن طريقة سهلة للحصول عليها. من خلال استهداف الباحثين عن عمل ، يمكنهم أن يضمنوا تقريبًا أن الضحية الأولى لن تشارك في تكنولوجيا المعلومات - فلا أحد يريد أن يُرى وهو يتقدم للوظائف الجديدة من كمبيوتر العمل. إذا كنت تستخدم معدات صاحب العمل ، فيجب عليك استخدامها في العمل فقط. احتفظ بالبحث عن عمل عندما تصل إلى المنزل.