拉撒路集團是朝鮮黑客,他們現在正在發送 不請自來 以及針對 Apple macOS 操作系統的虛假加密作業。 黑客組織部署了惡意軟件來進行攻擊。
網絡安全公司 SentinelOne 正在審查該活動的最新變體。
這家網絡安全公司發現,黑客組織使用誘餌文件為新加坡加密貨幣交易平台 Crypto.com 宣傳職位,並相應地進行黑客攻擊。
黑客活動的最新變體被稱為“Operation In(ter)ception”。 據報導,到目前為止,網絡釣魚活動僅針對 Mac 用戶。
已發現用於黑客攻擊的惡意軟件與偽造的 Coinbase 招聘信息中使用的惡意軟件相同。
上個月,研究人員觀察並發現 Lazarus 使用虛假的 Coinbase 職位空缺來誘騙 macOS 用戶下載惡意軟件。
該集團如何在 Crypto.com 平台上進行黑客攻擊
這被認為是精心策劃的黑客攻擊。 這些黑客將惡意軟件偽裝成流行加密貨幣交易所的招聘信息。
這是通過使用精心設計且看似合法的 PDF 文檔來進行的,該文檔顯示各種職位的廣告空缺,例如新加坡的藝術總監 - 概念藝術 (NFT)。
根據 SentinelOne 的一份報告,這種新的加密工作誘餌包括通過 Lazarus 的 LinkedIn 消息與他們聯繫來瞄准其他受害者。
SentinelOne 表示,提供有關黑客活動的更多詳細信息,
儘管現階段尚不清楚惡意軟件是如何分發的,但早期的報告表明,威脅行為者正在通過 LinkedIn 上的針對性消息來吸引受害者。
這兩個虛假招聘廣告只是一系列被稱為“攔截行動”的攻擊中的最新一次,而這又是更廣泛的活動的一部分,該活動屬於更廣泛的黑客行動,稱為“夢想工作行動”。
相關閱讀: STEPN 與 Giving Block 合作,為非營利組織啟用加密貨幣捐贈
惡意軟件是如何分佈的不太清楚
對此進行調查的安全公司提到,目前尚不清楚惡意軟件是如何傳播的。
考慮到技術細節,SentinelOne 表示第一階段 dropper 是一個 Mach-O 二進製文件,與 Coinbase 變體中使用的模板二進製文件相同。
第一階段包括在用戶庫中創建一個新文件夾,以刪除持久性代理。
第二階段的主要目的是提取和執行第三階段的二進製文件,它充當 C2 服務器的下載器。
諮詢中寫道,
威脅行為者沒有努力加密或混淆任何二進製文件,這可能表明短期活動和/或很少害怕被他們的目標檢測到。
SentinelOne 還提到,Operation In(ter)ception 似乎也將目標從加密交換平台的用戶擴展到了他們的員工,因為它看起來“可能是進行間諜活動和加密貨幣盜竊的聯合努力”。
來源:https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/