- Lazarus Group — північнокорейські хакери
- Зараз хакери надсилають небажані та фальшиві криптовалютні завдання
- Останній варіант кампанії ретельно вивчає SentinelOne
Lazarus Group — це група північнокорейських хакерів, які наразі надсилають підроблені криптографічні завдання в операційну систему macOS від Apple, не запитуючи їх. Зловмисне програмне забезпечення, яке використовує хакерська група, запускає атаку.
Фірма з кібербезпеки SentinelOne розглядає цей останній варіант кампанії.
Фірма з кібербезпеки визначила, що група хакерів рекламувала вакансії для сінгапурської платформи обміну криптовалютами Crypto.com, використовуючи документи-приманки, і відповідно здійснює атаки.
Як група проводила зломи?
Operation In(ter)ception — так називається останній варіант хакерської кампанії. Згідно з повідомленнями, фішингова кампанія в основному націлена на користувачів Mac.
Було виявлено, що зловмисне програмне забезпечення, яке використовується для злому, таке ж, як і зловмисне програмне забезпечення, яке використовується в фіктивних оголошеннях про роботу на Coinbase.
Є припущення, що це був спланований злом. Зловмисне програмне забезпечення було замасковане цими хакерами під оголошення про роботу на популярних біржах криптовалют.
Це робиться за допомогою добре розроблених і легітимних PDF-документів, які рекламують вакансії на посади в Сінгапурі, як-от Art Director-Concept Art (NFT). У звіті SentinelOne говориться, що Lazarus використовував обмін повідомленнями LinkedIn, щоб зв’язатися з іншими жертвами в рамках цієї нової криптографічної вакансії.
ЧИТАЙТЕ ТАКОЖ: Перекази понад 3000 BTC потрапили в центр уваги
Дроппер першого ступеня — двійковий Mach-O — SentinelOne
Ці два фейкові оголошення про роботу є лише останніми в серії атак, які отримали назву Operation In(ter)ception, і, у свою чергу, є частиною великої кампанії, яка є частиною великої хакерської операції, відомої як Operation Dream Job. . Обидві ці кампанії є частиною великої операції.
Охоронна компанія, яка вивчає це, повідомила, що шлях поширення шкідливого програмного забезпечення досі залишається загадкою. SentinelOne заявив, що дроппер першого етапу є двійковим файлом Mach-O, який є таким же, як шаблонний двійковий файл, який використовується у варіанті Coinbase, беручи до уваги специфіку.
Перший крок передбачає переміщення агента постійного збереження в абсолютно нову папку в бібліотеці користувача.
Видобуток і виконання двійкового файлу третього етапу, який виконує функцію завантажувача з сервера C2, є основною функцією другого етапу.
Джерело: https://www.thecoinrepublic.com/2022/09/29/macos-users-targeted-by-lazarus-hackers/