- Grupa Lazarus to hakerzy z Korei Północnej
- Hakerzy wysyłają teraz niechciane i fałszywe zlecenia kryptograficzne
- Najnowszy wariant kampanii jest badany przez SentinelOne
Grupa Lazarus to grupa hakerów z Korei Północnej, którzy obecnie wysyłają fałszywe zlecenia kryptograficzne do systemu operacyjnego macOS firmy Apple bez pytania o nie. Szkodliwe oprogramowanie wykorzystywane przez grupę hakerów jest tym, co rozpoczyna atak.
Firma SentinelOne zajmująca się cyberbezpieczeństwem przygląda się temu najnowszemu wariantowi kampanii.
Firma zajmująca się cyberbezpieczeństwem ustaliła, że grupa hakerów reklamowała pozycje dla singapurskiej platformy wymiany kryptowalut Crypto.com przy użyciu dokumentów wabiących i odpowiednio przeprowadza ataki.
Jak grupa przeprowadziła hacki?
Operation In(ter)ception to nazwa nadana najnowszemu wariantowi kampanii hakerskiej. Według doniesień kampania phishingowa jest skierowana głównie do użytkowników komputerów Mac.
Odkryto, że złośliwe oprogramowanie wykorzystywane w atakach hakerskich jest takie samo, jak złośliwe oprogramowanie wykorzystywane w fałszywych ofertach pracy na Coinbase.
Sugerowano, że był to planowany hack. Złośliwe oprogramowanie zostało zamaskowane przez tych hakerów jako oferty pracy z popularnych giełd kryptowalut.
Odbywa się to za pomocą dobrze zaprojektowanych i legalnie wyglądających dokumentów PDF, które reklamują stanowiska na stanowiska w Singapurze, takie jak Art Director-Concept Art (NFT). Raport SentinelOne mówi, że Lazarus używał wiadomości LinkedIn do kontaktowania się z innymi ofiarami w ramach tej nowej przynęty na kryptowalutę.
PRZECZYTAJ RÓWNIEŻ: Ponad 3000 przelewów BTC znalazło się w centrum uwagi
Dropper pierwszego stopnia to binarny system Mach-O – SentinelOne
Te dwie fałszywe ogłoszenia o pracę są tylko ostatnimi z serii ataków, które zostały nazwane Operation In(ter)ception i są z kolei częścią większej kampanii, która jest częścią większej operacji hakerskiej znanej jako Operation Dream Job . Obie te kampanie są częścią większej operacji.
Firma zajmująca się bezpieczeństwem, która się tym zajmuje, powiedziała, że sposób, w jaki złośliwe oprogramowanie się porusza, nadal pozostaje tajemnicą. SentinelOne stwierdził, że dropper pierwszego stopnia to plik binarny Mach-O, który jest taki sam jak binarny szablon używany w wariancie Coinbase, biorąc pod uwagę specyfikę.
Pierwszy krok polega na upuszczeniu agenta trwałości do zupełnie nowego folderu w bibliotece użytkownika.
Ekstrakcja i wykonanie pliku binarnego trzeciego etapu, który służy jako downloader z serwera C2, jest podstawową funkcją drugiego etapu.
Źródło: https://www.thecoinrepublic.com/2022/09/29/macos-users-targeted-by-lazarus-hackers/