Група Lazarus — це північнокорейські хакери, які зараз надсилають незатребуваної і підроблені криптографічні роботи, націлені на операційну систему macOS від Apple. Група хакерів розгорнула шкідливе програмне забезпечення, яке проводить атаку.
Цей останній варіант кампанії ретельно вивчає компанія з кібербезпеки SentinelOne.
Компанія з кібербезпеки з’ясувала, що група хакерів використовувала документи-приманки для реклами позицій для сінгапурської платформи обміну криптовалют під назвою Crypto.com і здійснює злом відповідно.
Останній варіант хакерської кампанії отримав назву «Операція «Ін(тер)цепція». Повідомляється, що фішингова кампанія націлена лише на користувачів Mac.
Зловмисне програмне забезпечення, яке використовувалося для злому, виявилося ідентичним до того, що використовувалося в підроблених оголошеннях про роботу Coinbase.
Минулого місяця дослідники спостерігали та з’ясували, що Lazarus використовував фальшиві вакансії Coinbase, щоб обманом спонукати лише користувачів macOS завантажувати шкідливе програмне забезпечення.
Як група здійснювала хакерські атаки на платформі Crypto.com
Це було визнано організованим зломом. Ці хакери замаскували зловмисне програмне забезпечення під оголошення про роботу на популярних криптобіржах.
Для цього використовуються добре розроблені та здавалося б легітимними PDF-документи, що відображають рекламні вакансії на різні посади, як-от Art Director-Concept Art (NFT) у Сінгапурі.
Згідно зі звітом SentinelOne, ця нова крипто-вакансія включала націлювання на інших жертв шляхом зв’язку з ними через повідомлення LinkedIn від Lazarus.
Надаючи додаткові подробиці щодо хакерської кампанії, SentinelOne заявив,
Хоча на даному етапі неясно, як розповсюджується зловмисне програмне забезпечення, попередні звіти припускали, що зловмисники залучали жертв за допомогою цільових повідомлень на LinkedIn.
Ці два фальшиві оголошення про роботу є лише останніми в низці атак, які отримали назву Operation In(ter)ception, і які, у свою чергу, є частиною ширшої кампанії, яка підпадає під більш широку хакерську операцію під назвою Operation Dream Job.
Пов'язані читання: STEPN співпрацює з Giving Block, щоб увімкнути криптовалютні пожертви для некомерційних організацій
Менше ясності щодо того, як розповсюджується зловмисне програмне забезпечення
Охоронна компанія, яка вивчає це, зазначила, що досі незрозуміло, як поширюється шкідливе програмне забезпечення.
З огляду на технічну інформацію, SentinelOne сказав, що дроппер першого етапу є двійковим файлом Mach-O, який є таким же, як шаблонний двійковий файл, який використовувався у варіанті Coinbase.
Перший етап полягає у створенні нової папки в бібліотеці користувача, яка видаляє агент збереження.
Основною метою другого етапу є видобування та виконання двійкового файлу третього етапу, який діє як завантажувач із сервера C2.
Порада читала,
Зловмисники не доклали жодних зусиль для шифрування чи обфускації будь-яких двійкових файлів, що, можливо, вказує на короткочасні кампанії та/або незначний страх виявлення їхніми цілями.
SentinelOne також зазначив, що Operation In(ter)ception також, схоже, розширює цілі від користувачів платформ криптовалютного обміну до їхніх співробітників, оскільки це виглядає як «що може бути об’єднаним зусиллям для здійснення як шпигунства, так і крадіжки криптовалюти».
Джерело: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/