Lazarus Group su sjevernokorejski hakeri koji sada šalju Nemoljen i lažni kripto poslovi usmjereni na Appleov operativni sustav macOS. Hakerska skupina je postavila malware koji provodi napad.
Ovu najnoviju varijantu kampanje pomno ispituje tvrtka za kibernetičku sigurnost SentinelOne.
Tvrtka za kibernetičku sigurnost otkrila je da je hakerska skupina koristila lažne dokumente za oglašavanje pozicija za platformu za razmjenu kriptovaluta Crypto.com sa sjedištem u Singapuru i u skladu s tim provodi hakiranje.
Najnovija varijanta hakerske kampanje nazvana je “Operacija In(ter)ception”. Navodno, phishing kampanja daleko cilja samo na korisnike Maca.
Utvrđeno je da je zlonamjerni softver korišten za hakiranje identičan onom korištenom u lažnim oglasima za posao na Coinbaseu.
Prošlog mjeseca istraživači su primijetili i otkrili da je Lazarus koristio lažne otvorene poslove za Coinbase kako bi prevario samo korisnike macOS-a da preuzmu zlonamjerni softver.
Kako je grupa izvršila hakiranje na platformi Crypto.com
Ovo se smatra orkestriranim hakiranjem. Ovi hakeri su zakamuflirali zlonamjerni softver kao oglase za posao s popularnih kripto burzi.
To se provodi korištenjem dobro dizajniranih i naizgled legitimnih PDF dokumenata koji prikazuju oglašavanje slobodnih radnih mjesta za različite pozicije, kao što je Art Director-Concept Art (NFT) u Singapuru.
Prema izvješću SentinelOnea, ovaj novi mamac za kripto posao uključivao je ciljanje drugih žrtava kontaktiranjem Lazarusovim porukama na LinkedInu.
Dajući dodatne pojedinosti o hakerskoj kampanji, SentinelOne je izjavio,
Iako u ovoj fazi nije jasno kako se malware distribuira, ranija su izvješća sugerirala da akteri prijetnji privlače žrtve putem ciljanih poruka na LinkedInu.
Ova dva lažna oglasa za posao samo su posljednji u nizu napada koji su nazvani Operation In(ter)ception, a koji je pak dio šire kampanje koja potpada pod širu hakersku operaciju Operation Dream Job.
Povezano čitanje: STEPN je partner s Giving Blockom kako bi omogućio kripto donacije za neprofitne organizacije
Manje jasnoće o tome kako se zlonamjerni softver distribuira
Sigurnosna tvrtka koja ovo istražuje spomenula je da još uvijek nije jasno kako zlonamjerni softver cirkulira.
Uzimajući u obzir tehničke detalje, SentinelOne je rekao da je kapaljka prve faze Mach-O binarna datoteka, koja je ista kao binarna datoteka predloška koja se koristila u varijanti Coinbase.
Prva faza sastoji se od stvaranja nove mape u korisničkoj biblioteci koja ispušta agenta postojanosti.
Primarna svrha druge faze je izdvojiti i izvršiti binarnu datoteku treće faze, koja djeluje kao preuzimač s C2 poslužitelja.
Savjet je glasio,
Akteri prijetnji nisu uložili nikakav napor da šifriraju ili maskiraju bilo koju od binarnih datoteka, što vjerojatno ukazuje na kratkoročne kampanje i/ili mali strah od otkrivanja od strane njihovih meta.
SentinelOne je također spomenuo da se čini da operacija In(ter)ception također proširuje mete s korisnika platformi za razmjenu kripto valuta na njihove zaposlenike, jer izgleda kao "ono što bi moglo biti kombinirani napor za provođenje i špijunaže i krađe kriptovalute."
Izvor: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/