Το Lazarus Group είναι βορειοκορεάτες χάκερ που τώρα στέλνουν Αυτόκλητη και ψεύτικες εργασίες κρυπτογράφησης που στοχεύουν στο λειτουργικό σύστημα macOS της Apple. Η ομάδα χάκερ έχει αναπτύξει κακόβουλο λογισμικό που διεξάγει την επίθεση.
Αυτή η τελευταία παραλλαγή της καμπάνιας εξετάζεται εξονυχιστικά από την εταιρεία κυβερνοασφάλειας SentinelOne.
Η εταιρεία κυβερνοασφάλειας ανακάλυψε ότι η ομάδα χάκερ χρησιμοποίησε έγγραφα δόλωμα για διαφημιστικές θέσεις για την πλατφόρμα ανταλλαγής κρυπτονομισμάτων με έδρα τη Σιγκαπούρη που ονομάζεται Crypto.com και πραγματοποιεί τις εισβολές αναλόγως.
Η πιο πρόσφατη παραλλαγή της εκστρατείας hacking ονομάστηκε "Operation In(ter)ception". Σύμφωνα με πληροφορίες, η καμπάνια phishing στοχεύει μόνο χρήστες Mac με μεγάλη διαφορά.
Το κακόβουλο λογισμικό που χρησιμοποιείται για τις εισβολές έχει βρεθεί ότι είναι πανομοιότυπο με εκείνα που χρησιμοποιούνται σε ψεύτικες αγγελίες εργασίας Coinbase.
Τον περασμένο μήνα, οι ερευνητές παρατήρησαν και ανακάλυψαν ότι ο Lazarus χρησιμοποίησε ψεύτικες θέσεις εργασίας στο Coinbase για να ξεγελάσει μόνο τους χρήστες macOS ώστε να κατεβάσουν κακόβουλο λογισμικό.
Πώς διεξήγαγε η ομάδα hacks στην πλατφόρμα Crypto.com
Αυτό έχει θεωρηθεί ως ενορχηστρωμένη πειρατεία. Αυτοί οι χάκερ έχουν καμουφλάρει κακόβουλο λογισμικό ως αγγελίες εργασίας από δημοφιλή ανταλλακτήρια κρυπτογράφησης.
Αυτό πραγματοποιείται με τη χρήση καλοσχεδιασμένων και νόμιμων εγγράφων PDF που εμφανίζουν διαφημιστικές κενές θέσεις για διάφορες θέσεις, όπως Art Director-Concept Art (NFT) στη Σιγκαπούρη.
Σύμφωνα με μια αναφορά από το SentinelOne, αυτό το νέο δέλεαρ για την κρυπτογράφηση περιελάμβανε τη στόχευση άλλων θυμάτων επικοινωνώντας μαζί τους μέσω μηνυμάτων LinkedIn από τον Lazarus.
Παρέχοντας πρόσθετες λεπτομέρειες σχετικά με την εκστρατεία χάκερ, η SentinelOne δήλωσε,
Αν και δεν είναι σαφές σε αυτό το στάδιο πώς διανέμεται το κακόβουλο λογισμικό, προηγούμενες αναφορές υποδηλώνουν ότι οι φορείς απειλών προσέλκυαν θύματα μέσω στοχευμένων μηνυμάτων στο LinkedIn.
Αυτές οι δύο ψεύτικες αγγελίες εργασίας είναι μόνο οι τελευταίες σε μια σειρά επιθέσεων που ονομάστηκαν Operation In(ter)ception, και οι οποίες με τη σειρά τους αποτελούν μέρος μιας ευρύτερης καμπάνιας που εμπίπτει στην ευρύτερη επιχείρηση hacking που ονομάζεται Operation Dream Job.
Σχετική ανάγνωση: Το STEPN συνεργάζεται με το μπλοκ για την ενεργοποίηση δωρεών κρυπτογράφησης για μη κερδοσκοπικούς οργανισμούς
Λιγότερη σαφήνεια σχετικά με το πώς διανέμεται το κακόβουλο λογισμικό
Η εταιρεία ασφαλείας που εξετάζει αυτό ανέφερε ότι δεν είναι ακόμη σαφές πώς κυκλοφορεί το κακόβουλο λογισμικό.
Λαμβάνοντας υπόψη τις τεχνικές λεπτομέρειες, ο SentinelOne είπε ότι το πρώτο σταγονόμετρο είναι ένα δυαδικό Mach-O, το οποίο είναι το ίδιο με ένα δυαδικό πρότυπο προτύπου που έχει χρησιμοποιηθεί στην παραλλαγή του Coinbase.
Το πρώτο στάδιο αποτελείται από τη δημιουργία ενός νέου φακέλου στη βιβλιοθήκη του χρήστη που ρίχνει έναν παράγοντα επιμονής.
Ο πρωταρχικός σκοπός του δεύτερου σταδίου είναι η εξαγωγή και η εκτέλεση του δυαδικού τρίτου σταδίου, το οποίο λειτουργεί ως πρόγραμμα λήψης από τον διακομιστή C2.
Το συμβουλευτικό διάβασε,
Οι φορείς απειλών δεν έχουν κάνει καμία προσπάθεια να κρυπτογραφήσουν ή να συσκοτίσουν οποιοδήποτε από τα δυαδικά αρχεία, υποδεικνύοντας πιθανώς βραχυπρόθεσμες εκστρατείες ή/και ελάχιστο φόβο εντοπισμού από τους στόχους τους.
Το SentinelOne ανέφερε επίσης ότι η Operation In(ter)ception φαίνεται επίσης να επεκτείνει τους στόχους από τους χρήστες πλατφορμών ανταλλαγής κρυπτονομισμάτων στους υπαλλήλους τους, καθώς φαίνεται ότι «μπορεί να είναι μια συνδυασμένη προσπάθεια για τη διεξαγωγή τόσο της κατασκοπείας όσο και της κλοπής κρυπτονομισμάτων».
Πηγή: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/