Издание trendTIC провело собственное расследование и выяснило некоторые подробности взлома. По данным ресурса, атака стала возможна благодаря одному из сотрудников Redbanc, ответившему на объявление о вакансии разработчика в соцсети LinkedIn. Компания, разместившая объявление, оказалась прикрытием участников Lazarus Group, которые не преминули воспользоваться предоставленной возможностью. Во время собеседования в Skype соискателя попросили загрузить файл ApplicationPDF.exe якобы для генерации стандартного бланка заявки. Согласно данным анализа специалистов ИБ-компании Flashpoint, в действительности файл загрузил и установил вредонос PowerRatankba, связываемый с предыдущими атаками Lazarus.
Вредоносная программа собирала информацию о компьютере сотрудника Redbanc и отправляла ее на удаленный сервер. Данные включали имя ПК, сведения об аппаратном обеспечении и операционной системе, настройках прокси, текущих процессах, общедоступных папках, статусе подключения по RDP и пр. На основе данной информации злоумышленники могли сделать вывод о «ценности» инфицированного ПК и решить, стоит ли загружать дополнительное более интрузивное вредоносное ПО.
Инцидент с Redbanc в очередной раз продемонстрировал, как всего один сотрудник может оказаться причиной компрометации всей корпоративной сети.