Група Lazarus - гэта паўночнакарэйскія хакеры, якія зараз адпраўляюць непатрабавальны і падробленыя крыптавакансіі, арыентаваныя на аперацыйную сістэму macOS ад Apple. Хакерская група разгарнула шкоднаснае ПЗ, якое здзяйсняе атаку.
Гэты апошні варыянт кампаніі ўважліва вывучаецца кампаніяй па кібербяспецы SentinelOne.
Кампанія па кібербяспецы выявіла, што хакерская група выкарыстала падманныя дакументы для рэкламы пазіцый для сінгапурскай платформы абмену крыптавалют пад назвай Crypto.com і ажыццяўляе ўзломы адпаведна.
Апошні варыянт хакерскай кампаніі атрымаў назву «Аперацыя In(ter)ception». Як паведамляецца, фішынгавая кампанія накіравана толькі на карыстальнікаў Mac.
Выяўлена, што шкоднаснае ПЗ, якое выкарыстоўвалася для ўзлому, ідэнтычнае таму, што выкарыстоўвалася ў фальшывых аб'явах аб вакансіях Coinbase.
У мінулым месяцы даследчыкі назіралі і высветлілі, што Lazarus выкарыстоўваў фальшывыя вакансіі Coinbase, каб прымусіць толькі карыстальнікаў macOS спампоўваць шкоднасныя праграмы.
Як група праводзіла ўзломы на платформе Crypto.com
Гэта было расцэнена як арганізаваны ўзлом. Гэтыя хакеры замаскіравалі шкоднасныя праграмы пад аб'явы аб вакансіях на папулярных крыптабіржах.
Гэта праводзіцца з выкарыстаннем добра прадуманых і легітымных PDF-дакументаў, якія адлюстроўваюць рэкламныя вакансіі на розныя пасады, напрыклад, арт-дырэктар-канцэпт-арт (NFT) у Сінгапуры.
Згодна са справаздачай SentinelOne, гэтая новая крыптаграфічная прынада ўключала ў сябе таргетынг іншых ахвяр, звязваючыся з імі праз паведамленні LinkedIn ад Lazarus.
Прадстаўляючы дадатковыя падрабязнасці адносна хакерскай кампаніі, SentinelOne заявіў,
Нягледзячы на тое, што на дадзеным этапе незразумела, як распаўсюджваецца шкоднаснае ПЗ, ранейшыя паведамленні паказвалі, што суб'екты пагрозы прыцягвалі ахвяр праз мэтавыя паведамленні ў LinkedIn.
Гэтыя дзве фальшывыя аб'явы аб вакансіях з'яўляюцца толькі апошнімі ў шэрагу нападаў, якія атрымалі назву Operation In(ter)ception і якія, у сваю чаргу, з'яўляюцца часткай больш шырокай кампаніі, якая падпадае пад больш шырокую хакерскую аперацыю пад назвай Operation Dream Job.
Падобныя чытання: STEPN супрацоўнічае з Giving Block, каб уключыць крыптавыя ахвяраванні для некамерцыйных арганізацый
Менш яснасці адносна таго, як распаўсюджваецца шкоднаснае ПЗ
Ахоўная кампанія, якая разглядае гэта, адзначыла, што да гэтага часу незразумела, як распаўсюджваецца шкоднасная праграма.
Улічваючы тэхнічныя асаблівасці, SentinelOne сказаў, што дроппер першай ступені - гэта двайковы файл Mach-O, які з'яўляецца такім жа, як двайковы файл шаблону, які выкарыстоўваўся ў варыянце Coinbase.
Першы этап заключаецца ў стварэнні новай папкі ў бібліятэцы карыстальніка, якая выдаляе агент захавання.
Асноўная мэта другога этапу - здабыць і выканаць двайковы файл трэцяга этапу, які дзейнічае як загрузнік з сервера C2.
Рэкамендацыя прачытала,
Суб'екты пагрозы не прыклалі ніякіх намаганняў для шыфравання або абфускацыі якіх-небудзь двайковых файлаў, што, магчыма, сведчыць аб кароткатэрміновых кампаніях і/або невялікай боязі выяўлення іх мэтамі.
SentinelOne таксама згадаў, што аперацыя In(ter)ception таксама, здаецца, пашырае мішэні ад карыстальнікаў платформаў крыптаабмену да іх супрацоўнікаў, так як гэта выглядае як «шпіянаж і крадзеж крыптавалют, якія могуць быць сумеснымі намаганнямі».
Крыніца: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/