Lazarus Group er nordkoreanske hackere, der nu sender uopfordret og falske kryptojob målrettet mod Apples macOS-operativsystem. Hackergruppen har indsat malware, som udfører angrebet.
Denne seneste variant af kampagnen bliver gransket af cybersikkerhedsvirksomheden SentinelOne.
Cybersikkerhedsfirmaet fandt ud af, at hackergruppen brugte lokkedokumenter til annonceringspositioner for den Singapore-baserede cryptocurrency-udvekslingsplatform kaldet Crypto.com og udfører hackene i overensstemmelse hermed.
Den seneste variant af hacking-kampagnen er blevet kaldt "Operation In(ter)ception". Efter sigende er phishing-kampagnen langtfra kun rettet mod Mac-brugere.
Den malware, der blev brugt til hacks, har vist sig at være identisk med dem, der blev brugt i falske Coinbase jobopslag.
I sidste måned observerede forskere og fandt ud af, at Lazarus brugte falske Coinbase-jobåbninger til kun at narre macOS-brugere til at downloade malware.
Hvordan udførte gruppen hacks på Crypto.com-platformen
Dette er blevet anset for at være et orkestreret hack. Disse hackere har camoufleret malware som jobopslag fra populære kryptobørser.
Dette udføres ved at bruge veldesignede og legitime tilsyneladende PDF-dokumenter, der viser ledige stillinger til forskellige stillinger, såsom Art Director-Concept Art (NFT) i Singapore.
Ifølge en rapport fra SentinelOne omfattede denne nye kryptojob-lokning målretning mod andre ofre ved at kontakte dem på LinkedIn-beskeder fra Lazarus.
Ved at give yderligere oplysninger om hackerkampagnen udtalte SentinelOne,
Selvom det på nuværende tidspunkt ikke er klart, hvordan malwaren distribueres, antydede tidligere rapporter, at trusselsaktører tiltrak ofre via målrettet beskeder på LinkedIn.
Disse to falske jobannoncer er blot det seneste i et væld af angreb, som er blevet kaldt Operation In(ter)ception, og som igen er en del af en bredere kampagne, som falder ind under den bredere hackingoperation kaldet Operation Dream Job.
Relateret læsning: STEPN samarbejder med Giving Block for at muliggøre kryptodonationer til nonprofitorganisationer
Mindre klarhed over, hvordan malwaren distribueres
Sikkerhedsfirmaet, der undersøger dette, nævnte, at det stadig er uklart, hvordan malwaren bliver cirkuleret.
I betragtning af de tekniske aspekter sagde SentinelOne, at den første fase dropper er en Mach-O binær, hvilket er det samme som en skabelon binær, der er blevet brugt i Coinbase varianten.
Det første trin består i at oprette en ny mappe i brugerens bibliotek, der dropper en persistensagent.
Det primære formål med det andet trin er at udtrække og udføre det tredje trins binære, som fungerer som en downloader fra C2-serveren.
Rådgivningen læste,
Trusselsaktørerne har ikke gjort nogen indsats for at kryptere eller sløre nogen af de binære filer, hvilket muligvis indikerer kortsigtede kampagner og/eller ringe frygt for at blive opdaget af deres mål.
SentinelOne nævnte også, at Operation In(ter)ception også ser ud til at udvide målene fra brugere af kryptoudvekslingsplatforme til deres medarbejdere, da det ser ud som "hvad der kan være en kombineret indsats for at udføre både spionage og kryptovaluta-tyveri."
Kilde: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/