Ang Lazarus Group ay mga hacker ng North Korean na nagpapadala na ngayon hindi hinihiling at mga pekeng trabaho sa crypto na naka-target sa macOS operating system ng Apple. Ang grupo ng hacker ay nag-deploy ng malware na nagsasagawa ng pag-atake.
Ang pinakabagong variant ng campaign na ito ay sinusuri ng cybersecurity company na SentinelOne.
Nalaman ng kumpanya ng cybersecurity na ang grupo ng hacker ay gumamit ng mga decoy na dokumento para sa mga posisyon sa pag-advertise para sa cryptocurrency exchange platform na nakabase sa Singapore na tinatawag na Crypto.com at isinasagawa ang mga hack nang naaayon.
Ang pinakabagong variant ng kampanya sa pag-hack ay tinawag na "Operation In(ter)ception". Iniulat, ang kampanya ng phishing ay nagta-target lamang ng mga gumagamit ng Mac sa ngayon.
Ang malware na ginamit para sa mga hack ay napag-alamang magkapareho sa mga ginagamit sa mga pekeng pag-post ng trabaho sa Coinbase.
Noong nakaraang buwan, napagmasdan at nalaman ng mga mananaliksik na gumamit si Lazarus ng mga pekeng Coinbase job openings para linlangin ang mga macOS user lang sa pag-download ng malware.
Paano Nagsagawa ng Mga Hack ang Grupo Sa Platform ng Crypto.com
Ito ay itinuturing na isang orchestrated hack. Ang mga hacker na ito ay nag-camouflage ng malware bilang mga pag-post ng trabaho mula sa mga sikat na crypto exchange.
Isinasagawa ito sa pamamagitan ng paggamit ng mahusay na disenyo at mukhang lehitimong PDF na mga dokumento na nagpapakita ng mga bakante sa advertising para sa iba't ibang posisyon, tulad ng Art Director-Concept Art (NFT) sa Singapore.
Ayon sa isang ulat mula sa SentinelOne, ang bagong crypto job lure na ito ay kasama ang pag-target sa iba pang mga biktima sa pamamagitan ng pakikipag-ugnayan sa kanila sa LinkedIn na pagmemensahe ni Lazarus.
Sa pagbibigay ng karagdagang mga detalye tungkol sa kampanya ng hacker, sinabi ng SentinelOne,
Bagama't hindi malinaw sa yugtong ito kung paano ipinamamahagi ang malware, iminungkahi ng mga naunang ulat na ang mga aktor ng pagbabanta ay umaakit ng mga biktima sa pamamagitan ng naka-target na pagmemensahe sa LinkedIn.
Ang dalawang pekeng advertisement ng trabaho na ito ay ang pinakabago lamang sa maraming pag-atake na tinawag na Operation In(ter)ception, at ito naman ay bahagi ng isang mas malawak na campaign na nasa ilalim ng mas malawak na operasyon sa pag-hack na tinatawag na Operation Dream Job.
Mga Kaugnay na Reading: Nakikipagsosyo ang STEPN sa Giving Block Upang Paganahin ang Mga Donasyon ng Crypto Para sa Mga Nonprofit
Mas Kaunting Kalinawan Kung Paano Ipinamamahagi Ang Malware
Binanggit ng kumpanya ng seguridad na tumitingin dito na hindi pa rin malinaw kung paano ipinapalabas ang malware.
Isinasaalang-alang ang mga teknikalidad, sinabi ng SentinelOne na ang unang yugto ng dropper ay isang Mach-O binary, na kapareho ng isang template binary na ginamit sa variant ng Coinbase.
Ang unang yugto ay binubuo ng paglikha ng isang bagong folder sa library ng gumagamit na nag-drop ng isang ahente ng pagtitiyaga.
Ang pangunahing layunin ng ikalawang yugto ay upang kunin at isagawa ang pangatlong yugto ng binary, na gumaganap bilang isang downloader mula sa C2 server.
Binasa ang payo,
Ang mga aktor ng banta ay walang pagsisikap na i-encrypt o i-obfuscate ang alinman sa mga binary, posibleng nagpapahiwatig ng mga panandaliang kampanya at/o kaunting takot sa pagtuklas ng kanilang mga target.
Binanggit din ng SentinelOne na ang Operation In(ter)ception ay tila pinapalawak din ang mga target mula sa mga user ng mga crypto exchange platform sa kanilang mga empleyado, dahil mukhang "ano ang maaaring pinagsamang pagsisikap na magsagawa ng parehong espionage at pagnanakaw ng cryptocurrency."
Pinagmulan: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/