A Lazarus Group észak-koreai hackerek, akik most küldenek Kéretlen és hamis titkosítási munkák, amelyek az Apple macOS operációs rendszerét célozzák. A hackercsoport rosszindulatú programot telepített, amely a támadást végrehajtja.
A kampány legújabb változatát a SentinelOne kiberbiztonsági vállalat vizsgálja.
A kiberbiztonsági cég kiderítette, hogy a hackercsoport csali dokumentumokat használt fel a szingapúri Crypto.com nevű kriptovaluta tőzsdei platform hirdetési pozícióihoz, és ennek megfelelően hajtja végre a feltöréseket.
A hackerkampány legújabb változata az „Operation In(ter)ception” nevet kapta. Állítólag az adathalász kampány messze csak a Mac felhasználókat célozza meg.
A feltörésekhez használt rosszindulatú programokról kiderült, hogy megegyeznek a Coinbase hamis álláshirdetéseiben használtakkal.
A múlt hónapban a kutatók megfigyelték és rájöttek, hogy Lazarus hamis Coinbase álláshirdetéseket használt fel, hogy csak a macOS-felhasználókat csalja rá a rosszindulatú programok letöltésére.
Hogyan hajtott végre a csoport feltöréseket a Crypto.com platformon?
Ezt hangszerelt hacknek tekintették. Ezek a hackerek rosszindulatú programokat álcáztak álláshirdetésekként a népszerű kriptográfiai tőzsdékről.
Ez jól megtervezett és jogosnak tűnő PDF-dokumentumok felhasználásával valósul meg, amelyek különböző pozíciókra, például a szingapúri Art Director-Concept Art (NFT) megüresedett állásajánlatokat jelenítik meg.
A SentinelOne jelentése szerint ez az új kriptográfiai csábítás magában foglalta más áldozatok megcélzását azáltal, hogy a Lazarus LinkedIn üzenetküldőjén felvette velük a kapcsolatot.
A hackerkampánnyal kapcsolatos további részletekkel a SentinelOne kijelentette,
Bár ebben a szakaszban nem világos, hogyan terjed a rosszindulatú program, a korábbi jelentések azt sugallták, hogy a fenyegetés szereplői a LinkedIn célzott üzenetküldésével vonzottak áldozatokat.
Ez a két hamis álláshirdetés csak a legújabb a számos támadásban, amelyeket Operation In(ter)ception-nek neveztek, és amelyek egy szélesebb kampány része, amely az Operation Dream Job nevű szélesebb hackelési művelet alá tartozik.
Kapcsolódó olvasmány: A STEPN együttműködik a Giving Block-al, hogy lehetővé tegye a kriptográfiai adományozást nonprofit szervezetek számára
Kevésbé egyértelmű a rosszindulatú program terjesztésének módja
Az ezt vizsgáló biztonsági cég megemlítette, hogy még mindig nem világos, hogyan terjed a kártevő.
Figyelembe véve a technikai részleteket, a SentinelOne azt mondta, hogy az első fokozatú dropper egy Mach-O bináris, amely megegyezik a Coinbase változatban használt sablon binárissal.
Az első lépés egy új mappa létrehozása a felhasználó könyvtárában, amely eldobja a perzisztencia ügynököt.
A második szakasz elsődleges célja a harmadik fokozatú bináris kinyerése és végrehajtása, amely letöltőként működik a C2 szerverről.
A tanácsadás szövege,
A fenyegetés szereplői nem törekedtek a binárisok titkosítására vagy elhomályosítására, ami valószínűleg rövid távú kampányokat és/vagy a célpontjaik általi észleléstől való csekély félelmet jelez.
A SentinelOne azt is megemlítette, hogy az Operation In(ter)ception a jelek szerint kiterjeszti a célokat a kriptocsere-platformok felhasználóitól az alkalmazottaikra is, mivel úgy tűnik, „mi lehet a kémkedés és a kriptovaluta-lopás közös erőfeszítése”.
Forrás: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/