Северокорейским киберпреступникам удалось проникнуть в компьютерную сеть компании Redbanc, обслуживающей инфраструктуру банкоматов всех банков в Чили, благодаря наивному сотруднику фирмы и одному звонку в Skype.

Предположительно, взлом был осуществлен проправительственной группировкой Lazarus Group (она же Hidden Cobra), известной своими атаками на банки, финансовые организации и криптовалютные биржи по всему миру. Одна из недавних атак была проведена в декабре прошлого года, однако общественность узнала о ней только в начале января 2019 года, когда сенатор Фелипе Харбое (Felipe Harboe) обвинил Redbanc в сокрытии информации о взломе. Чуть позже компания признала факт кибератаки, однако не предоставила никакой информации об инциденте.

Издание trendTIC провело собственное расследование и выяснило некоторые подробности взлома. По данным ресурса, атака стала возможна благодаря одному из сотрудников Redbanc, ответившему на объявление о вакансии разработчика в соцсети LinkedIn. Компания, разместившая объявление, оказалась прикрытием участников Lazarus Group, которые не преминули воспользоваться предоставленной возможностью. Во время собеседования в Skype соискателя попросили загрузить файл ApplicationPDF.exe якобы для генерации стандартного бланка заявки. Согласно данным анализа специалистов ИБ-компании Flashpoint, в действительности файл загрузил и установил вредонос PowerRatankba, связываемый с предыдущими атаками Lazarus.

Вредоносная программа собирала информацию о компьютере сотрудника Redbanc и отправляла ее на удаленный сервер. Данные включали имя ПК, сведения об аппаратном обеспечении и операционной системе, настройках прокси, текущих процессах, общедоступных папках, статусе подключения по RDP и пр. На основе данной информации злоумышленники могли сделать вывод о «ценности» инфицированного ПК и решить, стоит ли загружать дополнительное более интрузивное вредоносное ПО.

Инцидент с Redbanc в очередной раз продемонстрировал, как всего один сотрудник может оказаться причиной компрометации всей корпоративной сети. В минувшем декабре похожий пример привели специалисты компании Crowdstrike – в том случае киберпреступникам удалось взломать сеть через зараженный ноутбук.

Источник: securitylab.ru