- Skupina Lazarus so severnokorejski hekerji
- Hekerji zdaj pošiljajo nenaročena in lažna kriptovaluta
- Najnovejšo različico kampanje natančno preučuje SentinelOne
Skupina Lazarus je skupina severnokorejskih hekerjev, ki trenutno pošiljajo lažna kripto opravila Applovemu operacijskemu sistemu macOS, ne da bi zanje zahtevali. Zlonamerna programska oprema, ki jo uporablja hekerska skupina, je tisto, kar sproži napad.
Podjetje za kibernetsko varnost SentinelOne proučuje to najnovejšo različico kampanje.
Podjetje za kibernetsko varnost je ugotovilo, da je hekerska skupina oglaševala delovna mesta za platformo za izmenjavo kriptovalut Crypto.com s sedežem v Singapurju z uporabo dokumentov za vabo, in v skladu s tem izvaja napade.
Kako je skupina izvajala vdore?
Operacija In(ter)ception je ime za najnovejšo različico hekerske kampanje. Glede na poročila je kampanja lažnega predstavljanja namenjena predvsem uporabnikom Mac.
Ugotovljeno je bilo, da je zlonamerna programska oprema, uporabljena pri vdorih, enaka zlonamerni programski opremi, uporabljeni v lažnih objavah delovnih mest na Coinbase.
Predlagano je bilo, da je bil to načrtovan vdor. Ti hekerji so zlonamerno programsko opremo prikrili kot objave za delovna mesta na priljubljenih borznicah kriptovalut.
To se naredi z dobro oblikovanimi in legitimnimi dokumenti PDF, ki oglašujejo prosta delovna mesta s sedežem v Singapurju, kot je Art Director-Concept Art (NFT). Poročilo SentinelOne pravi, da je Lazarus uporabljal sporočila LinkedIn za stik z drugimi žrtvami kot del te nove vabe za kripto zaposlitev.
PREBERITE TUDI: V središču pozornosti je bilo več kot 3000 prenosov BTC
Kapalka prve stopnje je Mach-O binarna – SentinelOne
Ta dva lažna oglasa za zaposlitev sta le najnovejša v nizu napadov, ki so jih poimenovali Operation In(ter)ception, in sta del večje kampanje, ki je del večje hekerske operacije, znane kot Operation Dream Job. . Obe kampanji sta del večje operacije.
Varnostno podjetje, ki to preučuje, je dejalo, da je način, kako se zlonamerna programska oprema širi, še vedno skrivnost. SentinelOne je izjavil, da je kapalka prve stopnje binarna datoteka Mach-O, ki je enaka binarni obliki predloge, uporabljeni v različici Coinbase, ob upoštevanju posebnosti.
Prvi korak vključuje spuščanje agenta obstojnosti v popolnoma novo mapo v knjižnici uporabnika.
Ekstrakcija in izvedba binarne datoteke tretje stopnje, ki služi kot prenosnik s strežnika C2, je primarna funkcija druge stopnje.
Vir: https://www.thecoinrepublic.com/2022/09/29/macos-users-targeted-by-lazarus-hackers/