Хакеры из КНДР, финансируемые правительством своей страны, рассылают южнокорейским специалистам в сфере информационной безопасности поддельные приглашения на работу в Samsung, утверждается в отчёте Google под названием Threat Horizon. Среди жертв — сотрудники компаний, продающих антивирусное ПО.
Рассылка представляет собой PDF-файлы с «липовым» описанием вакансии в Samsung. При этом они модифицированы таким образом, чтобы их невозможно было открыть в стандартных программах для работы с этим форматом, и жертве предлагается «помощь» в виде ссылки на «защищённый PDF-ридер», который необходимо установить.
Сама программа, которую якобы нужно установить — модифицированная версия ПО для работы с PDF-файлами PDFTron. Оно изменено таким образом, чтобы занести на компьютер жертвы троян.
Специалисты Google Threat Analysis Group, обнаружившие рассылку, посчитали, что ей занимается киберпреступная группировка из КНДР. Ранее эта группировка выдавала себя за ИБ-экспертов в соцсетях — хакеры связывались с жертвами и рассылали им ссылки, содержащие вредоносные программы. Вредоносная кампания была нацелена на исследователей в сфере ИБ — злоумышленники использовали социальную инженерию и вели собственные блоги, в которых публиковали анализ уязвимостей. После того, как жертвы доверялись хакерам, те просили их о помощи и присылали проект Microsoft Visual Studio с вредоносным ПО. Кроме того, зафиксированы случаи взлома после перехода по ссылке в Twitter. Оба способа позволили хакерам устанавливать на компьютерах жертв бэкдора, который подключал их к управляемому злоумышленниками C&C-серверу.
В классификации Microsoft группировка называется Zinc. Специалисты по ИБ отметили, что хакеры пытались таким образом получить доступ к неопубликованным уязвимостям и эксплойтам у ничего не подозревающих сотрудников южнокорейских компаний, проявивших неосторожность. Учитывая, что атака шла на продавцов антивирусных программ, эта атака может отличаться от предыдущей, которая была нацелена на исследователей ИБ — взлом сотрудников таких компаний может дать возможность группировке планировать новые атаки на организации из Южной Кореи, которые используют эти антивирусы.
