Skupina Lazarus so severnokorejski hekerji, ki zdaj pošiljajo nezaželena in lažna kripto delovna mesta, namenjena Applovemu operacijskemu sistemu macOS. Hekerska skupina je uporabila zlonamerno programsko opremo, ki izvaja napad.
To najnovejšo različico kampanje natančno preučuje podjetje za kibernetsko varnost SentinelOne.
Podjetje za kibernetsko varnost je ugotovilo, da je hekerska skupina uporabila lažne dokumente za oglaševanje pozicij za platformo za izmenjavo kriptovalut s sedežem v Singapurju, imenovano Crypto.com, in v skladu s tem izvaja vdore.
Najnovejša različica hekerske akcije se je imenovala "Operation In(ter)ception". Poroča se, da lažna kampanja daleč cilja samo na uporabnike Mac.
Ugotovljeno je bilo, da je zlonamerna programska oprema, uporabljena za vdore, enaka tisti, ki se uporablja v lažnih objavah delovnih mest Coinbase.
Prejšnji mesec so raziskovalci opazili in ugotovili, da je Lazarus uporabljal lažna prosta delovna mesta Coinbase, da bi samo uporabnike macOS prevaral v prenos zlonamerne programske opreme.
Kako je skupina izvajala vdore v platformo Crypto.com
To velja za orkestriran vdor. Ti hekerji so zlonamerno programsko opremo zakamuflirali kot objave za delovna mesta iz priljubljenih kripto borz.
To se izvede z uporabo dobro oblikovanih in na videz legitimnih dokumentov PDF, ki prikazujejo prosta delovna mesta za različne položaje, kot je Art Director-Concept Art (NFT) v Singapurju.
Po poročilu SentinelOne je ta nova vaba za delo v kriptovalutah vključevala ciljanje na druge žrtve tako, da je Lazarus vzpostavil stik z njimi prek sporočil LinkedIn.
SentinelOne je ob zagotavljanju dodatnih podrobnosti o hekerski kampanji izjavil,
Čeprav na tej stopnji ni jasno, kako se zlonamerna programska oprema distribuira, so prejšnja poročila nakazovala, da akterji groženj privabljajo žrtve prek ciljno usmerjenih sporočil na LinkedInu.
Ta dva lažna oglasa za zaposlitev sta le zadnja v množici napadov, ki so jih poimenovali Operation In(ter)ception, ki pa je del širše kampanje, ki spada pod širšo hekersko operacijo, imenovano Operation Dream Job.
Sorodno branje: STEPN sodeluje z Giving Blockom, da omogoči kripto donacije za neprofitne organizacije
Manj jasnosti o tem, kako se zlonamerna programska oprema distribuira
Varnostno podjetje, ki to preučuje, je omenilo, da še vedno ni jasno, kako se zlonamerna programska oprema širi.
Glede na tehnične podrobnosti je SentinelOne dejal, da je kapalka prve stopnje binarna datoteka Mach-O, ki je enaka binarni obliki predloge, ki je bila uporabljena v različici Coinbase.
Prva faza je sestavljena iz ustvarjanja nove mape v knjižnici uporabnika, ki spusti agenta obstojnosti.
Primarni namen druge stopnje je ekstrahiranje in izvajanje binarne datoteke tretje stopnje, ki deluje kot prenosnik s strežnika C2.
Nasvet je glasil,
Akterji groženj se niso potrudili, da bi šifrirali ali zameglili katero koli od binarnih datotek, kar morda kaže na kratkoročne kampanje in/ali majhen strah, da bi jih njihovi cilji odkrili.
SentinelOne je tudi omenil, da se zdi, da operacija In(ter)ception razširja tarče z uporabnikov platform za izmenjavo kriptovalut na njihove zaposlene, saj je videti kot "kar bi lahko bilo skupno prizadevanje za vohunjenje in krajo kriptovalut."
Vir: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/