Lazarus Group on Põhja-Korea häkkerid, kes nüüd saadavad Pealesunnitud ja võltsitud krüptotööd, mis on suunatud Apple'i macOS-i operatsioonisüsteemile. Häkkerite rühmitus on kasutusele võtnud pahavara, mis rünnakut korraldab.
Seda kampaania viimast varianti kontrollib küberturvalisuse ettevõte SentinelOne.
Küberjulgeolekufirma selgitas välja, et häkkerirühmitus kasutas Singapuris asuva krüptovaluutavahetusplatvormi Crypto.com positsioonide reklaamimiseks peibutusdokumente ja teeb häkke vastavalt sellele.
Häkkimiskampaania uusim variant kannab nime "Operation In(ter)ception". Väidetavalt sihib andmepüügikampaania kaugeltki ainult Maci kasutajaid.
On leitud, et häkkimiseks kasutatud pahavara on identne Coinbase'i võltsitud töökuulutustes kasutatavaga.
Eelmisel kuul jälgisid teadlased ja leidsid, et Lazarus kasutas võltsitud Coinbase'i tööpakkumisi, et meelitada ainult macOS-i kasutajaid pahavara alla laadima.
Kuidas grupp korraldas häkkeid platvormil Crypto.com?
Seda on peetud organiseeritud häkkimiseks. Need häkkerid on maskeerinud pahavara populaarsete krüptobörside töökuulutustena.
See viiakse läbi, kasutades hästi kavandatud ja seaduslikuna näivaid PDF-dokumente, mis näitavad erinevate ametikohtade vabu töökohti, näiteks Singapuri kunstidirektor-kontseptsioonikunst (NFT).
SentinelOne'i aruande kohaselt hõlmas see uus krüptotöö ahvatlus teiste ohvrite sihtimist, võttes nendega ühendust Lazaruse LinkedIni sõnumite kaudu.
SentinelOne teatas häkkerikampaania kohta täiendavaid üksikasju esitades,
Kuigi praeguses etapis pole selge, kuidas pahavara levitatakse, viitasid varasemad aruanded, et ohus osalejad meelitasid ohvreid LinkedInis sihitud sõnumite kaudu.
Need kaks võltstöökuulutust on kõige uuemad rünnakud paljudes rünnakutes, mida on nimetatud operatsiooniks In(ter)ception ja mis omakorda on osa laiemast kampaaniast, mis kuulub laiema häkkimisoperatsiooni Operation Dream Job alla.
Seotud lugemine: STEPN teeb koostööd kinkimisplokiga, et võimaldada mittetulundusühingutele krüptoannetamist
Vähem selgust selle kohta, kuidas pahavara levitatakse
Seda uuriv turvafirma mainis, et siiani on ebaselge, kuidas pahavara levib.
Arvestades tehnilisi üksikasju, ütles SentinelOne, et esimese etapi tilguti on Mach-O binaar, mis on sama, mis malli binaar, mida on kasutatud Coinbase'i variandis.
Esimene etapp seisneb kasutaja teegis uue kausta loomises, mis loob püsiagendi.
Teise etapi peamine eesmärk on ekstraheerida ja käivitada kolmanda astme binaarfail, mis toimib C2-serverist allalaadijana.
Nõuanne,
Ohutegijad ei ole teinud jõupingutusi ühegi kahendfaili krüpteerimiseks ega hägustamiseks, mis võib viidata lühiajalistele kampaaniatele ja/või vähesele hirmule, et nende sihtmärgid tuvastavad.
SentinelOne mainis ka, et Operation In(ter)ception näib laiendavat ka krüptovahetusplatvormide kasutajate sihtmärke nende töötajatele, kuna tundub, et "mis võib olla kombineeritud jõupingutus nii spionaaži kui ka krüptovaluutavarguste läbiviimiseks."
Allikas: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/