Lazarus Group は北朝鮮のハッカーで、現在 要求されていない また、Apple の macOS オペレーティング システムを対象とした偽の暗号化ジョブ。 ハッカー グループは、攻撃を実行するマルウェアを展開しました。
このキャンペーンの最新の亜種は、サイバーセキュリティ会社 SentinelOne によって精査されています。
サイバーセキュリティ会社は、ハッカーグループがCrypto.comと呼ばれるシンガポールに本拠を置く暗号通貨交換プラットフォームの広告位置のためにおとり文書を使用し、それに応じてハッキングを実行していることを発見しました.
ハッキング キャンペーンの最新の亜種は、「Operation In(ter)ception」と呼ばれています。 伝えられるところによると、フィッシング キャンペーンは圧倒的に Mac ユーザーのみを対象としています。
ハッキングに使用されたマルウェアは、偽のコインベースの求人情報で使用されたものと同一であることが判明しました。
先月、研究者は、Lazarus が偽の Coinbase 求人情報を使用して、macOS ユーザーのみをだましてマルウェアをダウンロードさせたことを観察し、発見しました。
グループはどのように Crypto.com プラットフォームでハッキングを行ったのか
これは組織化されたハッキングと見なされています。 これらのハッカーは、人気のある仮想通貨取引所からの求人情報としてマルウェアを偽装しています。
これは、シンガポールのアート ディレクター - コンセプト アート (NFT) など、さまざまなポジションの広告の欠員を表示する、適切に設計された正当に見える PDF ドキュメントを使用して行われます。
SentinelOne のレポートによると、この新しい仮想通貨のおとり商法には、Lazarus による LinkedIn メッセージで他の被害者に連絡することで、他の被害者を標的にすることが含まれていました。
SentinelOne は、ハッカー キャンペーンに関する追加の詳細を提供し、次のように述べています。
現段階ではマルウェアがどのように配布されているかは明らかではありませんが、以前のレポートでは、攻撃者が LinkedIn のターゲットを絞ったメッセージを介して被害者を引き付けていたことが示唆されていました。
これら XNUMX つの偽の求人広告は、Operation In(ter)ception と呼ばれる一連の攻撃の最新のものであり、Operation Dream Job と呼ばれるより広範なハッキング活動に該当する、より広範なキャンペーンの一部です。
関連レディング: STEPN は、非営利団体への暗号寄付を可能にするギビング ブロックと提携します
マルウェアがどのように配布されているかについての不明瞭さ
これを調査しているセキュリティ会社は、マルウェアがどのように流通しているかについてはまだ不明であると述べています。
技術的なことを考慮して、SentinelOne は、第 XNUMX 段階のドロッパーは Mach-O バイナリであると述べました。これは、Coinbase の亜種で使用されているテンプレート バイナリと同じです。
最初の段階では、永続化エージェントをドロップするユーザーのライブラリに新しいフォルダーを作成します。
第 2 段階の主な目的は、CXNUMX サーバーからダウンローダーとして機能する第 XNUMX 段階のバイナリを抽出して実行することです。
勧告は、
脅威アクターは、いずれのバイナリも暗号化または難読化する努力を行っていません。これは、短期的なキャンペーンや、ターゲットによる検出の恐れがほとんどないことを示している可能性があります。
SentinelOne はまた、Operation In(ter)ception は仮想通貨交換プラットフォームのユーザーからその従業員までターゲットを拡大しているように見えると述べました。
ソース: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/