Grupa Lazarus to hakerzy z Korei Północnej, którzy teraz wysyłają Dobrowolny i fałszywe zadania kryptograficzne skierowane do systemu operacyjnego macOS firmy Apple. Grupa hakerów rozmieściła szkodliwe oprogramowanie, które przeprowadza atak.
Ten najnowszy wariant kampanii analizuje firma SentinelOne, zajmująca się cyberbezpieczeństwem.
Firma zajmująca się cyberbezpieczeństwem dowiedziała się, że grupa hakerów wykorzystała dokumenty wabiące do pozycji reklamowych dla singapurskiej platformy wymiany kryptowalut o nazwie Crypto.com i odpowiednio przeprowadza włamania.
Najnowszy wariant kampanii hakerskiej został nazwany „Operacja In(inter)cepcja”. Podobno kampania phishingowa jest skierowana tylko do użytkowników komputerów Mac.
Stwierdzono, że złośliwe oprogramowanie wykorzystywane do włamań jest identyczne jak te wykorzystywane w fałszywych ogłoszeniach o pracę na Coinbase.
W zeszłym miesiącu badacze zaobserwowali i odkryli, że Lazarus wykorzystywał fałszywe oferty pracy Coinbase, aby nakłonić tylko użytkowników macOS do pobrania złośliwego oprogramowania.
Jak grupa przeprowadziła hacki na platformie Crypto.com?
Zostało to uznane za zaaranżowane włamanie. Ci hakerzy zakamuflowali złośliwe oprogramowanie jako oferty pracy z popularnych giełd kryptograficznych.
Odbywa się to za pomocą dobrze zaprojektowanych i wyglądających legalnie dokumentów PDF wyświetlających wakaty reklamowe dla różnych stanowisk, takich jak Art Director-Concept Art (NFT) w Singapurze.
Według raportu SentinelOne, ta nowa przynęta na kryptowalutę obejmowała atakowanie innych ofiar, kontaktując się z nimi za pośrednictwem wiadomości Lazarusa na LinkedIn.
Podając dodatkowe szczegóły dotyczące kampanii hakerskiej, SentinelOne stwierdził:
Chociaż na tym etapie nie jest jasne, w jaki sposób złośliwe oprogramowanie jest dystrybuowane, wcześniejsze raporty sugerowały, że cyberprzestępcy przyciągali ofiary za pomocą ukierunkowanych wiadomości na LinkedIn.
Te dwa fałszywe ogłoszenia o pracę to tylko ostatnie z wielu ataków, które nazwano Operation In(ter)ception, a które z kolei są częścią szerszej kampanii, która wchodzi w zakres szerszej operacji hakerskiej zwanej Operation Dream Job.
Podobne czytanie: STEPN współpracuje z The Giving Block, aby umożliwić darowizny kryptograficzne dla organizacji non-profit
Mniej jasności co do sposobu dystrybucji złośliwego oprogramowania
Firma zajmująca się bezpieczeństwem, która się tym zajmuje, wspomniała, że nadal nie jest jasne, w jaki sposób złośliwe oprogramowanie jest rozpowszechniane.
Biorąc pod uwagę szczegóły techniczne, SentinelOne powiedział, że dropper pierwszego stopnia to plik binarny Mach-O, który jest taki sam jak plik binarny szablonu, który był używany w wariancie Coinbase.
Pierwszy etap polega na utworzeniu nowego folderu w bibliotece użytkownika, który porzuca agenta trwałości.
Podstawowym celem drugiego etapu jest wyodrębnienie i wykonanie pliku binarnego trzeciego etapu, który działa jako downloader z serwera C2.
W poradniku czytamy:
Podmioty zajmujące się zagrożeniami nie podjęły żadnych wysiłków, aby zaszyfrować lub zaciemnić jakiekolwiek pliki binarne, prawdopodobnie wskazując na krótkoterminowe kampanie i/lub niewielki strach przed wykryciem przez ich cele.
SentinelOne wspomniał również, że operacja In(ter)ception wydaje się również rozszerzać cele użytkowników platform wymiany kryptowalut na ich pracowników, ponieważ wygląda na to, że „co może być połączonym wysiłkiem w celu przeprowadzenia zarówno szpiegostwa, jak i kradzieży kryptowalut”.
Źródło: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/