Lazarus grupa ir Ziemeļkorejas hakeri, kas tagad sūta Nelūgts un viltoti kriptogrāfijas darbi, kas paredzēti Apple MacOS operētājsistēmai. Hakeru grupa ir izvietojusi ļaunprātīgu programmatūru, kas veic uzbrukumu.
Šo jaunāko kampaņas variantu rūpīgi pārbauda kiberdrošības uzņēmums SentinelOne.
Kiberdrošības uzņēmums noskaidroja, ka hakeru grupa izmantojusi mānekļus, lai reklamētu pozīcijas Singapūrā bāzētajā kriptovalūtu apmaiņas platformā Crypto.com, un attiecīgi veic uzlaušanu.
Datorurķēšanas kampaņas jaunākais variants ir nosaukts “Operation In(ter)ception”. Tiek ziņots, ka pikšķerēšanas kampaņas mērķauditorija ir tikai Mac lietotāji.
Ir konstatēts, ka uzlaušanai izmantotā ļaunprātīgā programmatūra ir identiska tai, kas tiek izmantota viltotos Coinbase darba sludinājumos.
Pagājušajā mēnesī pētnieki novēroja un noskaidroja, ka Lazarus izmantoja viltotus Coinbase darba piedāvājumus, lai pievilinātu tikai MacOS lietotājus lejupielādēt ļaunprātīgu programmatūru.
Kā grupa veica uzlaušanu Crypto.com platformā
Tas tiek uzskatīts par organizētu uzlaušanu. Šie hakeri ir maskējuši ļaunprātīgu programmatūru kā darba sludinājumus no populārām kriptovalūtu biržām.
Tas tiek veikts, izmantojot labi izstrādātus un likumīgi šķietami PDF dokumentus, kuros ir redzamas dažādu amatu vakances, piemēram, Art Director-Concept Art (NFT) Singapūrā.
Saskaņā ar SentinelOne ziņojumu, šis jaunais šifrēšanas darba vilinājums ietvēra mērķēšanu uz citiem upuriem, sazinoties ar viņiem, izmantojot Lazarus LinkedIn ziņojumapmaiņu.
Sniedzot papildu informāciju par hakeru kampaņu, SentinelOne paziņoja,
Lai gan šajā posmā nav skaidrs, kā ļaunprātīga programmatūra tiek izplatīta, iepriekšējie ziņojumi liecina, ka draudu dalībnieki piesaistīja upurus, izmantojot mērķtiecīgu ziņojumapmaiņu pakalpojumā LinkedIn.
Šie divi viltotie darba sludinājumi ir tikai jaunākie no daudziem uzbrukumiem, kas tika saukti par operāciju In(ter)ception, un kas savukārt ir daļa no plašākas kampaņas, kas ietilpst plašākā hakeru operācijā ar nosaukumu Operation Dream Job.
Saistītie lasījumi: STEPN sadarbojas ar piešķiršanas bloku, lai nodrošinātu kriptovalūtu ziedojumus bezpeļņas organizācijām
Mazāka skaidrība par to, kā tiek izplatīta ļaunprātīga programmatūra
Apsardzes uzņēmums, kas to izskata, minēja, ka joprojām nav skaidrs, kā ļaunprātīga programmatūra tiek izplatīta.
Ņemot vērā tehniskos aspektus, SentinelOne teica, ka pirmā posma pilinātājs ir Mach-O binārs, kas ir tāds pats kā veidnes binārs, kas tika izmantots Coinbase variantā.
Pirmajā posmā lietotāja bibliotēkā tiek izveidota jauna mape, kurā tiek noņemts noturības aģents.
Otrā posma galvenais mērķis ir iegūt un izpildīt trešās pakāpes bināro failu, kas darbojas kā lejupielādētājs no C2 servera.
Padoms lasīt,
Apdraudējuma dalībnieki nav pielikuši pūles, lai šifrētu vai aptumšotu kādu no binārajiem failiem, iespējams, norādot uz īstermiņa kampaņām un/vai mazām bailēm no to atklāšanas.
SentinelOne arī minēja, ka šķiet, ka operācija In(ter)ception arī paplašina mērķus no kriptovalūtu apmaiņas platformu lietotājiem līdz viņu darbiniekiem, jo izskatās, ka "kas varētu būt apvienoti centieni, lai veiktu gan spiegošanu, gan kriptovalūtas zādzību".
Avots: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/