Фінансові установи

Користувачі MacOS, націлені на хакерів Lazarus

09/29/2022
Новини Bitcoin Ethereum

  • Lazarus Group — північнокорейські хакери
  • Зараз хакери надсилають небажані та фальшиві криптовалютні завдання
  • Останній варіант кампанії ретельно вивчає SentinelOne

Lazarus Group — це група північнокорейських хакерів, які наразі надсилають підроблені криптографічні завдання в операційну систему macOS від Apple, не запитуючи їх. Зловмисне програмне забезпечення, яке використовує хакерська група, запускає атаку.

Фірма з кібербезпеки SentinelOne розглядає цей останній варіант кампанії.

Фірма з кібербезпеки визначила, що група хакерів рекламувала вакансії для сінгапурської платформи обміну криптовалютами Crypto.com, використовуючи документи-приманки, і відповідно здійснює атаки.

зображення

Як група проводила зломи?

Operation In(ter)ception — так називається останній варіант хакерської кампанії. Згідно з повідомленнями, фішингова кампанія в основному націлена на користувачів Mac.

Було виявлено, що зловмисне програмне забезпечення, яке використовується для злому, таке ж, як і зловмисне програмне забезпечення, яке використовується в фіктивних оголошеннях про роботу на Coinbase.

Є припущення, що це був спланований злом. Зловмисне програмне забезпечення було замасковане цими хакерами під оголошення про роботу на популярних біржах криптовалют.

Це робиться за допомогою добре розроблених і легітимних PDF-документів, які рекламують вакансії на посади в Сінгапурі, як-от Art Director-Concept Art (NFT). У звіті SentinelOne говориться, що Lazarus використовував обмін повідомленнями LinkedIn, щоб зв’язатися з іншими жертвами в рамках цієї нової криптографічної вакансії.

ЧИТАЙТЕ ТАКОЖ: Перекази понад 3000 BTC потрапили в центр уваги

Дроппер першого ступеня — двійковий Mach-O — SentinelOne 

Ці два фейкові оголошення про роботу є лише останніми в серії атак, які отримали назву Operation In(ter)ception, і, у свою чергу, є частиною великої кампанії, яка є частиною великої хакерської операції, відомої як Operation Dream Job. . Обидві ці кампанії є частиною великої операції.

Охоронна компанія, яка вивчає це, повідомила, що шлях поширення шкідливого програмного забезпечення досі залишається загадкою. SentinelOne заявив, що дроппер першого етапу є двійковим файлом Mach-O, який є таким же, як шаблонний двійковий файл, який використовується у варіанті Coinbase, беручи до уваги специфіку.

Перший крок передбачає переміщення агента постійного збереження в абсолютно нову папку в бібліотеці користувача.

Видобуток і виконання двійкового файлу третього етапу, який виконує функцію завантажувача з сервера C2, є основною функцією другого етапу.

Джерело: https://www.thecoinrepublic.com/2022/09/29/macos-users-targeted-by-lazarus-hackers/