- Lazarus Group は北朝鮮のハッカーです。
- ハッカーは現在、未承諾の偽の暗号化ジョブを送信しています
- キャンペーンの最新の亜種は、SentinelOne によって精査されています
Lazarus Group は北朝鮮のハッカーのグループで、現在、Apple の macOS オペレーティング システムに要求せずに偽の暗号化ジョブを送信しています。 ハッカー グループが使用するマルウェアが攻撃を開始します。
サイバーセキュリティ会社 SentinelOne は、このキャンペーンの最新の変種を調査しています。
サイバーセキュリティ会社は、ハッカーグループがおとり文書を使用してシンガポールに拠点を置く暗号通貨交換プラットフォームCrypto.comのポジションを宣伝したと判断し、それに応じて攻撃を実行しています.
グループはどのようにハッキングを行ったのですか?
Operation In(ter)ception は、ハッキング キャンペーンの最新の亜種に付けられた名前です。 レポートによると、フィッシング キャンペーンは主に Mac ユーザーをターゲットにしています。
ハッキングで使用されたマルウェアは、Coinbase の偽の求人情報で使用されたマルウェアと同じであることが判明しました。
これは計画的なハッキングであることが示唆されています。 マルウェアは、これらのハッカーによって、人気のある仮想通貨取引所からの求人情報として偽装されています。
これは、Art Director-Concept Art (NFT) のようなシンガポールを拠点とするポジションの募集を宣伝する、適切に設計された正当に見える PDF ドキュメントを使用して行われます。 SentinelOne のレポートによると、Lazarus は LinkedIn のメッセージを使用して、この新しい仮想通貨のおとり捜査の一環として、他の被害者に連絡を取っていました。
第 XNUMX 段階のドロッパーは Mach-O バイナリです – SentinelOne
これら XNUMX つの偽の求人広告は、Operation In(ter)ception と呼ばれる一連の攻撃の最新のものであり、Operation Dream Job として知られるより大きなハッキング作戦の一部であるより大きなキャンペーンの一部です。 . これらのキャンペーンは両方とも、より大きな作戦の一部です。
これを調査しているセキュリティ会社は、マルウェアがどのように広まっているのかはまだ謎であると述べています。 SentinelOne は、第 XNUMX 段階のドロッパーは Mach-O バイナリであると述べました。これは、詳細を考慮すると、Coinbase バリアントで使用されているテンプレート バイナリと同じです。
最初のステップでは、持続性エージェントをユーザーのライブラリ内の新しいフォルダーにドロップします。
C2 サーバーからのダウンローダとして機能する第 XNUMX 段階のバイナリの抽出と実行は、第 XNUMX 段階の主要な機能です。
ソース: https://www.thecoinrepublic.com/2022/09/29/macos-users-targeted-by-lazarus-hackers/