Skupina Lazarus jsou severokorejští hackeři, kteří nyní posílají Nevyžádaný a falešné kryptografické úlohy zaměřené na operační systém Apple MacOS. Skupina hackerů nasadila malware, který provádí útok.
Tuto nejnovější variantu kampaně prověřuje kybernetická bezpečnostní společnost SentinelOne.
Společnost zabývající se kybernetickou bezpečností zjistila, že hackerská skupina použila návnady pro reklamní pozice pro singapurskou platformu pro výměnu kryptoměn Crypto.com a podle toho provádí hacky.
Nejnovější varianta hackerské kampaně se nazývá „Operation In(ter)ception“. Phishingová kampaň se údajně zaměřuje pouze na uživatele Maců.
Bylo zjištěno, že malware použitý pro hacky je totožný s malwarem používaným ve falešných pracovních nabídkách Coinbase.
Minulý měsíc výzkumníci pozorovali a zjistili, že Lazarus používal falešná pracovní místa Coinbase, aby přiměl ke stažení malwaru pouze uživatele macOS.
Jak skupina provedla hackování na platformě Crypto.com
Toto bylo považováno za organizovaný hack. Tito hackeři maskovali malware jako pracovní nabídky z populárních krypto burz.
To se provádí pomocí dobře navržených a legitimně vypadajících dokumentů PDF zobrazujících volná místa v inzerci pro různé pozice, jako je Art Director-Concept Art (NFT) v Singapuru.
Podle zprávy od SentinelOne zahrnovala tato nová návnada na kryptoměny zacílení na další oběti tím, že je kontaktovala prostřednictvím zpráv LinkedIn od společnosti Lazarus.
SentinelOne poskytl další podrobnosti týkající se hackerské kampaně:
Ačkoli v této fázi není jasné, jak je malware distribuován, dřívější zprávy naznačovaly, že aktéři hrozeb přitahovali oběti prostřednictvím cílených zpráv na LinkedIn.
Tyto dva falešné pracovní inzeráty jsou jen nejnovější z řady útoků, které byly nazvány Operation In(ter)ception, a které jsou zase součástí širší kampaně, která spadá pod širší hackerskou operaci s názvem Operation Dream Job.
Související čtení: STEPN spolupracuje s dárcovským blokem, aby umožnilo darování kryptoměn pro neziskové organizace
Méně jasné, jak je malware distribuován
Bezpečnostní společnost, která se tím zabývá, uvedla, že stále není jasné, jak je malware šířen.
S ohledem na technické detaily SentinelOne uvedl, že kapátko první fáze je binární Mach-O, což je stejné jako binární šablona, která byla použita ve variantě Coinbase.
První fáze spočívá ve vytvoření nové složky v knihovně uživatele, která odstraní agenta persistence.
Primárním účelem druhé fáze je extrahovat a spustit binární soubor třetí fáze, který funguje jako downloader ze serveru C2.
Poradna přečetla,
Aktéři hrozeb nevyvinuli žádné úsilí k zašifrování nebo zamlžení některého z binárních souborů, což může naznačovat krátkodobé kampaně a/nebo malý strach z odhalení svými cíli.
SentinelOne také zmínil, že Operation In(ter)ception také zřejmě rozšiřuje cíle z uživatelů kryptoměnových platforem na jejich zaměstnance, protože to vypadá jako „co může být spojené úsilí o špionáž i krádež kryptoměny“.
Zdroj: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/