Вредоносная кампания преступников из Северной Кореи была направлена против криптовалютных организаций в Великобритании, США, Нидерландах, Германии, Сингапуре, Японии и как минимум восьми других странах.
Злоумышленники использовали файл с вредоносным ПО, который был отправлен в виде вложения к сообщению LinkedIn и побуждал системного администратора открыть его для получения подробной информации о новой интересной работе.
Вредоносная версия документа была якобы защищена GDPR. Вредоносные файлы, загруженные после запуска макроса, имели сходство с предыдущими инструментами APT38.
«Lazarus Group приложила значительные усилия, чтобы обойти защиту целевой организации во время атаки, например, отключив антивирусное программное обеспечение на скомпрометированных узлах и замаскировав присутствие вредоносных имплантатов», — пояснили эксперты.