Lazarus Group — это северокорейские хакеры, которые сейчас отправляют Незапрошенный и поддельные криптографические задания, нацеленные на операционную систему Apple macOS. Группа хакеров развернула вредоносное ПО, которое проводит атаку.
Этот последний вариант кампании тщательно изучается компанией SentinelOne, занимающейся кибербезопасностью.
Компания по кибербезопасности обнаружила, что хакерская группа использовала документы-приманки для рекламы вакансий для сингапурской платформы обмена криптовалютой под названием Crypto.com, и соответствующим образом проводит взломы.
Последний вариант хакерской кампании получил название «Операция по перехвату». Как сообщается, фишинговая кампания пока нацелена только на пользователей Mac.
Было обнаружено, что вредоносное ПО, используемое для взлома, идентично тому, которое использовалось в поддельных объявлениях о вакансиях Coinbase.
В прошлом месяце исследователи заметили и выяснили, что Lazarus использовал поддельные вакансии Coinbase, чтобы обмануть только пользователей macOS и заставить их загрузить вредоносное ПО.
Как группа проводила взломы на платформе Crypto.com
Это считается организованным взломом. Эти хакеры замаскировали вредоносное ПО под объявления о вакансиях на популярных криптобиржах.
Это осуществляется с помощью хорошо оформленных и кажущихся законными PDF-документов, отображающих рекламные вакансии на различные должности, такие как арт-директор-концепт-арт (NFT) в Сингапуре.
Согласно отчету SentinelOne, эта новая криптографическая приманка включала в себя нацеливание на других жертв, связываясь с ними в сообщениях LinkedIn от Lazarus.
Предоставив дополнительную информацию о хакерской кампании, SentinelOne заявил:
Хотя на данном этапе неясно, как распространяется вредоносное ПО, в более ранних отчетах предполагалось, что злоумышленники привлекали жертв с помощью целевого обмена сообщениями в LinkedIn.
Эти два поддельных объявления о работе являются лишь последними из множества атак, которые получили название Operation In(ter)ception и которые, в свою очередь, являются частью более широкой кампании, подпадающей под более широкую хакерскую операцию под названием Operation Dream Job.
Связанные Чтение: STEPN сотрудничает с The Giving Block, чтобы сделать пожертвования в криптовалюте для некоммерческих организаций
Меньше ясности в отношении того, как распространяется вредоносное ПО
Компания по безопасности, занимающаяся этим, упомянула, что до сих пор неясно, как распространяется вредоносное ПО.
Принимая во внимание технические аспекты, SentinelOne сказал, что дроппер первого этапа представляет собой двоичный файл Mach-O, который аналогичен двоичному шаблону, который использовался в варианте Coinbase.
Первый этап состоит из создания новой папки в пользовательской библиотеке, в которую сбрасывается агент сохраняемости.
Основная цель второго этапа — извлечь и выполнить двоичный файл третьего этапа, который действует как загрузчик с сервера C2.
Консультативное чтение,
Злоумышленники не предприняли никаких усилий для шифрования или обфускации каких-либо двоичных файлов, что, возможно, указывает на краткосрочные кампании и/или отсутствие опасений быть обнаруженными их целями.
SentinelOne также упомянул, что Operation In(ter)ception, по-видимому, также расширяет цели от пользователей платформ криптообмена до их сотрудников, поскольку это выглядит как «совместные усилия по осуществлению как шпионажа, так и кражи криптовалюты».
Источник: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/