Finansēt

MacOS lietotāji, kuru mērķauditorija ir Lazarus Hackers

09/29/2022
Bitcoin Ethereum ziņas

  • Lazarus grupa ir Ziemeļkorejas hakeri
  • Hakeri tagad sūta nevēlamus un viltotus šifrēšanas darbus
  • Jaunāko kampaņas variantu rūpīgi pārbauda SentinelOne

The Lazarus Group ir Ziemeļkorejas hakeru grupa, kas pašlaik sūta viltotus kriptogrāfijas darbus uz Apple MacOS operētājsistēmu, tos neprasot. Ļaunprātīga programmatūra, ko izmanto hakeru grupa, ir tas, kas uzsāk uzbrukumu.

Kiberdrošības uzņēmums SentinelOne izskata šo jaunāko kampaņas variantu.

Kiberdrošības firma konstatējusi, ka hakeru grupa, izmantojot mānekļus, reklamējusi pozīcijas Singapūrā bāzētajai kriptovalūtu apmaiņas platformai Crypto.com, un attiecīgi veic uzbrukumus.

attēls

Kā grupa veica uzlaušanu?

Operācija In(ter)ception ir nosaukums, kas dots jaunākajam uzlaušanas kampaņas variantam. Saskaņā ar ziņojumiem pikšķerēšanas kampaņa galvenokārt ir paredzēta Mac lietotājiem.

Ir atklāts, ka uzlaušanā izmantotā ļaunprogrammatūra ir tāda pati kā ļaunprogrammatūra, kas tiek izmantota viltus darba sludinājumos vietnē Coinbase.

Tiek uzskatīts, ka tas bija plānots uzlaušana. Šie hakeri ir maskējuši ļaunprātīgu programmatūru kā darba sludinājumus no populārām kriptovalūtu biržām.

Tas tiek darīts ar labi izstrādātiem un likumīga izskata PDF dokumentiem, kas reklamē Singapūras amatu, piemēram, Art Director-Concept Art (NFT) amatus. SentinelOne ziņojumā teikts, ka Lazarus izmantoja LinkedIn ziņojumapmaiņu, lai sazinātos ar citiem upuriem šīs jaunās kriptogrāfijas darba vilinājuma ietvaros.

LASĪT ARĪ: Uzmanības centrā ir vairāk nekā 3000 BTC pārskaitījumu

Pirmā posma pilinātājs ir Mach-O binārs – SentinelOne 

Šie divi viltus darba sludinājumi ir tikai jaunākie uzbrukumu virknē, kas nodēvēti par operāciju In(ter)ception, un, savukārt, ir daļa no lielākas kampaņas, kas ir daļa no plašākas hakeru operācijas, kas pazīstama kā operācija Dream Job. . Abas šīs kampaņas ir daļa no plašākas darbības.

Apsardzes uzņēmums, kas to izskatīja, teica, ka ļaunprātīgās programmatūras izplatīšanās veids joprojām ir noslēpums. SentinelOne norādīja, ka pirmā posma pilinātājs ir Mach-O binārs, kas ir tāds pats kā Coinbase variantā izmantotais veidnes binārs, ņemot vērā specifiku.

Pirmais solis ir noturības aģenta nomešana pavisam jaunā mapē lietotāja bibliotēkā.

Trešās pakāpes binārā faila iegūšana un izpilde, kas kalpo kā lejupielādētājs no C2 servera, ir otrā posma galvenā funkcija.

Avots: https://www.thecoinrepublic.com/2022/09/29/macos-users-targeted-by-lazarus-hackers/