APT Lazarus retter sig mod ingeniører med macOS Malware

Nordkoreansk APT Lazarus er op til sine gamle tricks med en cyberspionagekampagne, der er målrettet mod ingeniører med et falsk jobopslag, der forsøger at sprede macOS malware. Den ondsindede Mac-eksekverbare, der bruges i kampagnen, er rettet mod både Apple- og Intel-chipbaserede systemer.

Kampagnen, identificeret af forskere fra ESET Research Labs og afsløret i en række tweets udgivet tirsdag, efterligner cryptocurrency trader Coinbase i en jobbeskrivelse, der hævder at søge en ingeniørchef for produktsikkerhed, røbede forskere.

Kaldt Operation In(ter)ception dropper den seneste kampagne en signeret Mac-eksekverbar forklædt som en jobbeskrivelse for Coinbase, som forskere opdagede uploadet til VirusTotal fra Brasilien, skrev de."Malware er kompileret til både Intel og Apple Silicon," ifølge et af tweets. "Det taber tre filer: et lokke-PDF-dokument Coinbase_online_careers_2022_07.pdf, en bundt http[://]FinderFontsUpdater[.]-app og en downloader-safarifontagent."

Ligheder med tidligere malware

Malwaren er ligner en prøve opdaget af ESET i maj, som også indeholdt en signeret eksekverbar forklædt som en jobbeskrivelse, blev udarbejdet for både Apple og Intel, og droppede en PDF-lokkedue, sagde forskere.

Den seneste malware er dog underskrevet den 21. juli ifølge dens tidsstempel, hvilket betyder, at det enten er noget nyt eller en variant af den tidligere malware. Den bruger et certifikat udstedt i februar 2022 til en udvikler ved navn Shankey Nohria, og som blev tilbagekaldt af Apple den 12. august, sagde forskere. Selve appen blev ikke notariseret.

Operation In(ter)ception har også en ledsagende Windows-version af malwaren, der dropper det samme lokkemiddel og opdaget den 4. august af Malwarebytes trusselsefterretningsforsker Jazi, ifølge ESET.

Den malware, der bruges i kampagnen, forbinder også til en anden kommando- og kontrolinfrastruktur (C2) end den malware, der blev opdaget i maj, https:[//]concrecapital[.]com/%user%[.]jpg, som ikke reagerede, da forskere forsøgte at forbinde til det.

Lazarus på fri fod

Nordkoreas Lazarus er velkendt som en af ​​de mest produktive APT'er og er allerede i de internationale myndigheders trådkors efter at være blevet sanktioneret tilbage i 2019 af den amerikanske regering.

Lazarus er kendt for at henvende sig til akademikere, journalister og fagfolk i forskellige brancher - især forsvarsindustri–at samle efterretninger og økonomisk opbakning til Kim Jong-uns regime. Den har ofte brugt efterligningstricks, der ligner den, der blev observeret i Operation In(ter)ception for at forsøge at få ofre til at tage malwarelokket.

En tidligere kampagne blev også identificeret i januar målrettede jobsøgende ingeniører ved at dingle falske beskæftigelsesmuligheder til dem i en spyd-phishing-kampagne. Angrebene brugte Windows Update som en levende-off-the-land-teknik og GitHub som en C2-server.

I mellemtiden har en lignende kampagne afsløret sidste år så Lazarus efterligne forsvarsentreprenører Boeing og General Motors og hævdede at søge jobkandidater kun for at sprede ondsindede dokumenter.

Ændre det

Men for nylig har Lazarus diversificeret sin taktik, hvor Feds har afsløret, at Lazarus også har været ansvarlig for en række krypto-tyverier med det formål at udfylde Jong-uns regime med kontanter.

Relateret til denne aktivitet, den amerikanske regering pålagte sanktioner mod cryptocurrency mixer-tjenesten Tornado Cash for at hjælpe Lazarus med at hvidvaske penge fra dets cyberkriminelle aktiviteter, som de mener delvist skal finansiere Nordkoreas missilprogram.

Lazarus har endda dyppet sin tå i ransomware midt i sin vanvid med cyberafpresning. I maj kom forskere fra cybersikkerhedsfirmaet Trellix knyttet den nyligt opståede VHD ransomware til det nordkoreanske APT.