Lazarus Group ovat pohjoiskorealaisia hakkereita, jotka nyt lähettävät Ei-toivottu ja väärennetyt kryptotyöt, jotka on suunnattu Applen macOS-käyttöjärjestelmään. Hakkeriryhmä on ottanut käyttöön haittaohjelman, joka suorittaa hyökkäyksen.
Kyberturvallisuusyhtiö SentinelOne tarkastaa tämän kampanjan uusimman version.
Kyberturvallisuusyritys sai selville, että hakkeriryhmä käytti houkutusasiakirjoja singaporelaisen Crypto.com-nimisen kryptovaluutanvaihtoalustan mainospaikoille ja suorittaa hakkerointia sen mukaisesti.
Hakkerointikampanjan uusin versio on nimeltään "Operation In(ter)ception". Tietojen mukaan tietojenkalastelukampanja on suunnattu vain Mac-käyttäjille.
Hakkerointiin käytettyjen haittaohjelmien on todettu olevan identtisiä Coinbasen väärennettyjen työpaikkailmoituksien kanssa.
Viime kuussa tutkijat havaitsivat ja havaitsivat, että Lazarus käytti väärennettyjä Coinbase-avoimia työpaikkoja huijatakseen vain macOS-käyttäjiä lataamaan haittaohjelmia.
Kuinka ryhmä suoritti hakkerointia Crypto.com-alustalla
Tätä on pidetty orkestroituna hakkerointina. Nämä hakkerit ovat naamioineet haittaohjelmia työpaikkailmoituksina suosituista kryptopörsseistä.
Tämä tehdään käyttämällä hyvin suunniteltuja ja oikeutetuilta näyttäviä PDF-dokumentteja, joissa näytetään avoimia ilmoituksia eri tehtäviin, kuten Art Director-Concept Art (NFT) Singaporessa.
SentinelOnen raportin mukaan tämä uusi salaustyön houkuttelu sisälsi muiden uhrien kohdistamisen ottamalla heihin yhteyttä Lazaruksen LinkedIn-viestien kautta.
Antaessaan lisätietoja hakkerikampanjasta SentinelOne totesi,
Vaikka tässä vaiheessa ei ole selvää, kuinka haittaohjelmia levitetään, aiempien raporttien mukaan uhkatekijät houkuttelivat uhreja kohdistetuilla viesteillä LinkedInissä.
Nämä kaksi väärennettyä työpaikkailmoitusta ovat vain uusimpia hyökkäyksiä, joita on kutsuttu nimellä Operation In(ter)ception, ja joka puolestaan on osa laajempaa kampanjaa, joka kuuluu laajempaan hakkerointioperaatioon nimeltä Operation Dream Job.
Liittyvät sanat: STEPN tekee yhteistyötä Giving Blockin kanssa mahdollistaakseen kryptolahjoitusten järjestöille
Vähemmän selkeyttä haittaohjelmien levittämisestä
Asiaa tutkiva tietoturvayhtiö mainitsi, että on edelleen epäselvää, miten haittaohjelma leviää.
Tekniset seikat huomioon ottaen SentinelOne sanoi, että ensimmäisen vaiheen dropper on Mach-O-binaari, joka on sama kuin mallibinaari, jota on käytetty Coinbase-variantissa.
Ensimmäinen vaihe koostuu uuden kansion luomisesta käyttäjän kirjastoon, joka pudottaa pysyvyysagentin.
Toisen vaiheen ensisijainen tarkoitus on purkaa ja suorittaa kolmannen vaiheen binaari, joka toimii latausohjelmana C2-palvelimelta.
Ohje lukee,
Uhkatoimijat eivät ole yrittäneet salata tai hämärtää mitään binääriä, mikä mahdollisesti osoittaa lyhytaikaisia kampanjoita ja/tai vähäistä pelkoa kohteensa havaitsemisesta.
SentinelOne mainitsi myös, että Operation In(ter)ception näyttää myös laajentavan tavoitteita kryptovaihtoalustojen käyttäjiltä heidän työntekijöihin, koska näyttää siltä, että "mikä voi olla yhdistetty yritys vakoilun ja kryptovaluuttavarkauksien suorittamiseksi".
Lähde: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/