фінансаў

Карыстальнікі MacOS, якія сталі мішэнню хакераў Lazarus

09/29/2022
Навіны Bitcoin Ethereum

  • Lazarus Group - паўночнакарэйскія хакеры
  • Цяпер хакеры рассылаюць непажаданыя і падробленыя крыптазаданні
  • Апошні варыянт кампаніі ўважліва вывучаецца SentinelOne

Lazarus Group - гэта група паўночнакарэйскіх хакераў, якія ў цяперашні час адпраўляюць падробленыя крыптазаданні ў аперацыйную сістэму Apple macOS, не запытваючы іх. Шкоднасная праграма, якую выкарыстоўвае хакерская група, з'яўляецца тым, што запускае атаку.

Кампанія па кібербяспецы SentinelOne разглядае гэты апошні варыянт кампаніі.

Фірма па кібербяспецы вызначыла, што хакерская група рэкламавала пазіцыі для сінгапурскай платформы абмену крыптавалют Crypto.com, выкарыстоўваючы падманныя дакументы, і адпаведна здзяйсняе атакі.

малюнак

Як група праводзіла хакі?

Operation In(ter)ception - так называецца апошні варыянт хакерскай кампаніі. Паводле паведамленняў, фішынгавая кампанія ў першую чаргу нацэлена на карыстальнікаў Mac.

Было выяўлена, што шкоднаснае ПЗ, якое выкарыстоўвалася пры ўзломе, такое ж, як і ў фальшывых аб'явах аб вакансіях на Coinbase.

Ёсць меркаванні, што гэта быў спланаваны ўзлом. Шкоднасныя праграмы былі замаскіраваны гэтымі хакерамі пад аб'явы аб вакансіях на папулярных біржах криптовалют.

Гэта робіцца з дапамогай добра прадуманых і законна выглядаючых PDF-дакументаў, якія рэкламуюць вакансіі на пасады ў Сінгапуры, такія як Art Director-Concept Art (NFT). У справаздачы SentinelOne гаворыцца, што Лазар выкарыстоўваў абмен паведамленнямі LinkedIn, каб звязацца з іншымі ахвярамі ў рамках гэтай новай крыптаграфічнай працы.

ЧЫТАЙЦЕ ТАКСАМА: Больш за 3000 перакладаў BTC апынуліся ў цэнтры ўвагі

Дроппер першай ступені - двайковы Mach-O - SentinelOne 

Гэтыя дзве фальшывыя аб'явы аб вакансіях з'яўляюцца толькі апошнімі ў серыі нападаў, якія атрымалі назву Operation In(ter)ception і, у сваю чаргу, з'яўляюцца часткай больш шырокай кампаніі, якая з'яўляецца часткай буйнейшай хакерскай аперацыі, вядомай як Operation Dream Job . Абедзве гэтыя кампаніі з'яўляюцца часткай больш шырокай аперацыі.

Ахоўная кампанія, якая займаецца гэтай справай, заявіла, што шлях распаўсюджвання шкоднасных праграм застаецца загадкай. SentinelOne заявіў, што дроппер першай ступені - гэта двайковы файл Mach-O, які з'яўляецца такім жа, як двайковы файл шаблону, які выкарыстоўваецца ў варыянце Coinbase, з улікам спецыфікі.

Першы крок прадугледжвае перамяшчэнне агента захоўвання ў зусім новую тэчку ў бібліятэцы карыстальніка.

Выманне і выкананне двайковага файла трэцяга этапу, які служыць загрузчыкам з сервера C2, з'яўляецца асноўнай функцыяй другога этапу.

Крыніца: https://www.thecoinrepublic.com/2022/09/29/macos-users-targeted-by-lazarus-hackers/