Die nordkoreanische APT verwendet eine gefälschte Stellenausschreibung für Coinbase in einer Cyberspionage-Kampagne, die sich an Benutzer von Apple- und Intel-basierten Systemen richtet.
Nordkoreanische APT Lazarus setzt mit einer Cyberspionage-Kampagne auf Ingenieure mit einer gefälschten Stellenausschreibung, die versuchen, macOS-Malware zu verbreiten. Die bösartige ausführbare Mac-Datei, die in der Kampagne verwendet wird, zielt sowohl auf Apple- als auch auf Intel-Chip-basierte Systeme ab.
Die Kampagne, identifiziert von Forschern aus ESET-Forschungslabors und offenbart in a Reihe von Tweets gepostet am Dienstag, imitiert Kryptowährungshändler Coinbase in einer Stellenbeschreibung, in der behauptet wird, einen Engineering Manager für Produktsicherheit zu suchen, gaben Forscher preis.
Die jüngste Kampagne mit dem Namen Operation In(ter)ception lässt eine signierte ausführbare Mac-Datei fallen, die als Stellenbeschreibung für Coinbase getarnt ist und von der Forscher entdeckten, dass sie aus Brasilien auf VirusTotal hochgeladen wurde, schrieben sie.
„Malware wird sowohl für Intel als auch für Apple Silicon kompiliert“, heißt es in einem der Tweets. „Es legt drei Dateien ab: ein Köder-PDF-Dokument Coinbase_online_careers_2022_07.pdf, eine gebündelte http[://]FinderFontsUpdater[.]app und eine Downloader-Safarifontagent.“
Ähnlichkeiten mit früherer Malware
Die Malware ist ähnlich einer Probe Die von ESET im Mai entdeckte Datei, die auch eine signierte ausführbare Datei enthielt, die als Stellenbeschreibung getarnt war, wurde sowohl für Apple als auch für Intel zusammengestellt und hinterließ einen PDF-Köder, sagten Forscher.
Die neueste Malware ist jedoch gemäß ihrem Zeitstempel am 21. Juli signiert, was bedeutet, dass es sich entweder um etwas Neues oder um eine Variante der vorherigen Malware handelt. Es verwendet ein Zertifikat, das im Februar 2022 an einen Entwickler namens Shankey Nohria ausgestellt und am 12. August von Apple widerrufen wurde, sagten Forscher. Die App selbst wurde nicht notariell beglaubigt.
Operation In(ter)ception hat auch eine begleitende Windows-Version der Malware, die den gleichen Köder abwirft und am 4. August von Malwarebytes entdeckt wurde Threat-Intelligence-Forscher Jazi, laut ESET.
Die in der Kampagne verwendete Malware verbindet sich auch mit einer anderen Command-and-Control-Infrastruktur (C2) als die im Mai entdeckte Malware https:[//]concrecapital[.]com/%user%[.]jpg, die wann nicht reagierte Forscher versuchten, eine Verbindung dazu herzustellen.
Lazarus auf freiem Fuß
Nordkoreas Lazarus ist als einer der produktivsten APTs bekannt und befindet sich bereits im Fadenkreuz internationaler Behörden, nachdem er bereits 2019 von der US-Regierung sanktioniert wurde.
Lazarus ist dafür bekannt, Akademiker, Journalisten und Fachleute in verschiedenen Branchen anzusprechen – insbesondere die Rüstungsindustrie– um Informationen und finanzielle Unterstützung für das Regime von Kim Jong-un zu sammeln. Es hat oft ähnliche Tricks wie bei Operation In(ter)ception verwendet, um Opfer dazu zu bringen, den Malware-Köder zu schlucken.
Eine frühere Kampagne wurde ebenfalls im Januar identifiziert gezielt arbeitssuchende Ingenieure indem sie ihnen in einer Spear-Phishing-Kampagne gefälschte Beschäftigungsmöglichkeiten vorspielen. Die Angriffe nutzten Windows Update als „living-off-the-land“-Technik und GitHub als C2-Server.
Inzwischen ist auch eine ähnliche Kampagne im letzten Jahr aufgedeckt sah, wie Lazarus sich als Rüstungsunternehmen Boeing und General Motors ausgab und behauptete, Jobkandidaten nur zu suchen, um böswillige Dokumente zu verbreiten.
Ändern
In jüngerer Zeit hat Lazarus seine Taktiken jedoch diversifiziert, wobei die FBI enthüllte, dass Lazarus auch für eine Reihe von Krypto-Überfällen verantwortlich war, die darauf abzielten, das Regime von Jong-un mit Bargeld aufzufüllen.
Im Zusammenhang mit dieser Aktivität der US-Regierung verhängte Sanktionen gegen den Kryptowährungs-Mixer-Dienst Tornado Cash, weil er Lazarus geholfen hat, Geld aus seinen cyberkriminellen Aktivitäten zu waschen, von denen sie glauben, dass sie teilweise das nordkoreanische Raketenprogramm finanzieren.
Lazarus hat sogar seinen Zeh in Ransomware getaucht, inmitten seiner wahnsinnigen Cyber-Erpressungsaktivitäten. Im Mai Forscher des Cybersicherheitsunternehmens Trellix band die kürzlich aufgetauchte VHD-Ransomware zum nordkoreanischen APT.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://threatpost.com/apt-lazarus-macos-malware/180426/
- :hast
- :Ist
- :nicht
- $UP
- 12
- 2019
- 2022
- 50
- 700
- a
- Akademiker
- Nach
- Aktivitäten
- Aktivität
- gegen
- gezielt
- bereits
- ebenfalls
- Inmitten
- an
- und
- App
- Apple
- APT
- SIND
- AS
- At
- Anschläge
- Versuch
- August
- Verwaltung
- Zurück
- Unterstützung
- Köder
- war
- Sein
- Glauben
- Boeing
- beide
- Brasil
- bündeln
- by
- Kampagnen (Campaign)
- Kandidaten
- Bargeld
- Bescheinigung
- behauptet
- coinbase
- Begleiter
- Vernetz Dich
- Connects
- Bauunternehmen
- Smartgeräte App
- Fadenkreuz
- Krypto
- kryptowährung
- Kryptowährungs-Mixer
- Cyberkriminalität
- Cyber Spionage
- Cybererpressung
- Internet-Sicherheit
- Militär
- Beschreibung
- Entwickler:in / Unternehmen
- DID
- anders
- entdeckt
- abwechslungsreich
- Dokument
- Unterlagen
- fallen gelassen
- Abwurf
- Drops
- entweder
- entstanden
- Beschäftigung
- Entwicklung
- Ingenieure
- Sogar
- Fälschung
- Februar
- FBI
- Mappen
- Revolution
- Fest
- Aussichten für
- Raserei
- für
- Fonds
- sammeln
- Allgemeines
- General Motors
- bekommen
- GitHub
- der Regierung
- mit
- Unternehmen
- HTTPS
- identifiziert
- in
- inklusive
- infosec
- Infrastruktur
- Intel
- Intelligenz
- International
- Herausgegeben
- IT
- SEINE
- selbst
- Januar
- Job
- Journalisten
- Juli
- Kim
- Kim Jong-un
- bekannt
- Koreas
- Koreanisch
- Nachname
- Lazarus
- mac
- MacOS
- Malware
- Malwarebytes
- Manager
- max-width
- Kann..
- Mittel
- Mischung
- mehr
- vor allem warme
- Motoren
- Namens
- Neu
- Newsletter
- Norden
- Anzahl
- beobachtet
- of
- vorgenommen,
- Alt
- on
- EINEM
- einzige
- Betrieb
- Entwicklungsmöglichkeiten
- or
- Überblick
- Teil
- Plato
- Datenintelligenz von Plato
- PlatoData
- gepostet
- früher
- Produkt
- Profis
- Programm
- produktiv
- Ransomware
- kürzlich
- kürzlich
- Regime
- Forschungsprojekte
- Forscher
- Forscher
- Reagieren
- für ihren Verlust verantwortlich.
- Revealed
- aufschlussreich
- s
- Said
- gleich
- Sanktioniert
- sah
- Sicherheitdienst
- Suchen
- Server
- unterzeichnet
- Silizium
- ähnlich
- etwas
- Verbreitung
- Systeme und Techniken
- Taktik
- Nehmen
- Targeting
- Ziele
- Technik
- als
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- Sie
- vom Nutzer definierten
- fehlen uns die Worte.
- nach drei
- Zeitstempel
- zu
- Tornado
- Tornado Cash
- Händler
- versucht
- versuchen
- Dienstag
- Tweets
- uns
- US-Regierung
- unbedeckt
- Aktualisierung
- hochgeladen
- benutzt
- Nutzer
- verwendet
- Verwendung von
- Variante
- verschiedene
- Version
- Opfer
- wurde
- GUT
- wann
- welche
- Fenster
- mit
- schrieb
- Zephyrnet
