Lazarus Group er nordkoreanske hackere som nå sender Uoppfordret og falske kryptojobber rettet mot Apples macOS-operativsystem. Hackergruppen har distribuert skadelig programvare som utfører angrepet.
Denne siste varianten av kampanjen blir gransket av cybersikkerhetsselskapet SentinelOne.
Nettsikkerhetsselskapet fant ut at hackergruppen brukte lokkedokumenter for å annonsere stillinger for den Singapore-baserte kryptovalutautvekslingsplattformen kalt Crypto.com og utfører hackene deretter.
Den siste varianten av hackerkampanjen har blitt kalt «Operation In(ter)ception». Etter sigende er phishing-kampanjen langt på vei kun rettet mot Mac-brukere.
Skadevaren som ble brukt til hackene har vist seg å være identisk med de som ble brukt i falske Coinbase-jobbannonser.
Forrige måned observerte forskere og fant ut at Lazarus brukte falske Coinbase-jobbåpninger for å lure bare macOS-brukere til å laste ned skadelig programvare.
Hvordan utførte gruppen hacks på Crypto.com-plattformen
Dette har blitt ansett for å være et orkestrert hack. Disse hackerne har kamuflert skadelig programvare som stillingsannonser fra populære kryptobørser.
Dette utføres ved å bruke godt utformede og legitime tilsynelatende PDF-dokumenter som viser ledige stillinger for ulike stillinger, for eksempel Art Director-Concept Art (NFT) i Singapore.
I følge en rapport fra SentinelOne inkluderte denne nye kryptojobblokkingen målretting mot andre ofre ved å kontakte dem på LinkedIn-meldinger fra Lazarus.
SentinelOne ga ytterligere detaljer om hackerkampanjen, uttalte,
Selv om det ikke er klart på dette stadiet hvordan skadelig programvare distribueres, antydet tidligere rapporter at trusselaktører trakk til seg ofre via målrettede meldinger på LinkedIn.
Disse to falske stillingsannonsene er bare det siste i en rekke angrep som har blitt kalt Operation In(ter)ception, og som igjen er en del av en bredere kampanje som faller inn under den bredere hackingoperasjonen kalt Operation Dream Job.
Relatert Reading: STEPN samarbeider med Giving Block for å muliggjøre kryptodonasjoner for ideelle organisasjoner
Mindre klarhet i hvordan skadelig programvare distribueres
Sikkerhetsselskapet som ser på dette, nevnte at det fortsatt er uklart hvordan skadevaren blir sirkulert.
Tatt i betraktning de tekniske aspektene sa SentinelOne at første trinns dropper er en Mach-O binær, som er det samme som en malbinær som har blitt brukt i Coinbase-varianten.
Det første trinnet består i å opprette en ny mappe i brukerens bibliotek som slipper en persistensagent.
Det primære formålet med det andre trinnet er å trekke ut og kjøre den tredje-trinns binære filen, som fungerer som en nedlaster fra C2-serveren.
Rådgivningen leste,
Trusselaktørene har ikke anstrengt seg for å kryptere eller tilsløre noen av binærfilene, noe som muligens indikerer kortsiktige kampanjer og/eller liten frykt for å bli oppdaget av målene deres.
SentinelOne nevnte også at Operation In(ter)ception også ser ut til å utvide målene fra brukere av kryptoutvekslingsplattformer til sine ansatte, ettersom det ser ut som "hva kan være en kombinert innsats for å utføre både spionasje og kryptovaluta-tyveri."
Kilde: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/