Rahoittaa

Lazarus Hackersin kohteena olevat MacOS-käyttäjät

09/29/2022
Bitcoin Ethereum -uutiset

  • Lazarus Group on pohjoiskorealainen hakkeri
  • Hakkerit lähettävät nyt ei-toivottuja ja väärennettyjä kryptotyötöitä
  • SentinelOne tarkastaa kampanjan uusimman version

Lazarus Group on ryhmä pohjoiskorealaisia ​​hakkereita, jotka lähettävät tällä hetkellä väärennettyjä kryptotyöpaikkoja Applen macOS-käyttöjärjestelmään pyytämättä niitä. Hakkeriryhmän käyttämä haittaohjelma käynnistää hyökkäyksen.

Kyberturvallisuusyritys SentinelOne tutkii tätä kampanjan viimeisintä muunnelmaa.

Kyberturvallisuusyritys on todennut, että hakkeriryhmä mainosti singaporelaisen kryptovaluutanvaihtoalustan Crypto.comin paikkoja houkutusasiakirjoilla, ja se suorittaa hyökkäykset sen mukaisesti.

Kuva

Kuinka ryhmä suoritti hakkereita?

Operation In(ter)ception on nimi, joka on annettu hakkerointikampanjan uusimmalle versiolle. Raporttien mukaan tietojenkalastelukampanja on suunnattu ensisijaisesti Mac-käyttäjille.

On havaittu, että hakkeroinnissa käytetty haittaohjelma on sama kuin Coinbasen väärissä työilmoituksissa käytetty haittaohjelma.

On ehdotettu, että tämä oli suunniteltu hakkerointi. Nämä hakkerit ovat naamioineet haittaohjelmat työpaikkailmoituksiksi suosituista kryptovaluuttapörsseistä.

Tämä tehdään hyvin suunnitelluilla ja laillisilta näyttävillä PDF-dokumenteilla, jotka mainostavat avoimia Singaporessa sijaitsevia paikkoja, kuten Art Director-Concept Art (NFT). SentinelOnen raportin mukaan Lazarus käytti LinkedIn-viestintää ottaakseen yhteyttä muihin uhreihin osana tätä uutta kryptotyön houkuttelua.

LUE MYÖS: Yli 3000 BTC-siirtoa nousi valokeilassa

Ensimmäisen vaiheen tiputin on Mach-O-binääri – SentinelOne 

Nämä kaksi väärennettyä työpaikkailmoitusta ovat vain uusimmat hyökkäysten sarjasta, joita on kutsuttu Operation In(ter)ception -ksi ja jotka ovat puolestaan ​​osa suurempaa kampanjaa, joka on osa laajempaa hakkerointioperaatiota, joka tunnetaan nimellä Operation Dream Job. . Molemmat kampanjat ovat osa suurempaa toimintaa.

Asiaa tutkiva tietoturvayhtiö sanoi, että tapa, jolla haittaohjelma liikkuu, on edelleen mysteeri. SentinelOne totesi, että ensimmäisen vaiheen dropper on Mach-O-binääri, joka on sama kuin Coinbase-variantissa käytetty mallibinaari, ottaen huomioon erityispiirteet.

Ensimmäinen vaihe sisältää pysyvyysagentin pudotuksen täysin uuteen kansioon käyttäjän kirjastossa.

Kolmannen vaiheen binaarin purkaminen ja suorittaminen, joka toimii latausohjelmana C2-palvelimelta, on toisen vaiheen ensisijainen tehtävä.

Lähde: https://www.thecoinrepublic.com/2022/09/29/macos-users-targeted-by-lazarus-hackers/