APT Lazarus sihib macOS-i pahavaraga insenere

Põhja-Korea APT Lazarus on oma vanade nippidega hakkama saanud küberspionaažikampaaniaga, mis on suunatud inseneridele võltsitud töökuulutustega, mis üritavad levitada MacOS-i pahavara. Kampaanias kasutatud pahatahtlik Maci käivitatav fail sihib nii Apple'i kui ka Inteli kiibipõhiseid süsteeme.

Kampaania, mille tuvastasid teadlased alates ESET Research Labs ja ilmnes a tweetside seeria postitatud teisipäeval, kehastab krüptoraha kaupleja Coinbase ametijuhendis, milles väidetakse, et otsitakse tooteturbe insenerijuhti, avaldasid teadlased.

Nad kirjutasid, et hiljutine kampaania, mis kannab nime Operation In(ter)ception, loobub allkirjastatud Maci käivitatavast failist, mis on maskeeritud Coinbase'i töökirjelduseks ja mille teadlased avastasid Brasiiliast VirusTotali üles laadituna.Ühe säutsu kohaselt kompileeritakse pahavara nii Inteli kui ka Apple Siliconi jaoks. "Sellest kukub välja kolm faili: peibutus-PDF-dokument Coinbase_online_careers_2022_07.pdf, http[://]FinderFontsUpdater[.]rakendus ja allalaadija safarifontagent."

Sarnasused eelmise pahavaraga

Pahavara on sarnane prooviga Teadlaste sõnul avastas ESET mais, mis sisaldas ka allkirjastatud täitmisfaili, mis oli maskeeritud töökirjelduseks, koostati nii Apple'i kui ka Inteli jaoks ning jättis maha PDF-peibutusfaili.

Viimane pahavara on aga allkirjastatud 21. juulil vastavalt selle ajatemplile, mis tähendab, et see on kas midagi uut või eelmise pahavara variant. Teadlaste sõnul kasutab see sertifikaati, mis väljastati 2022. aasta veebruaris arendajale nimega Shankey Nohria ja mille Apple tühistas 12. augustil. Rakendus ise ei olnud notariaalselt kinnitatud.

Operatsioonil In(ter)ception on ka pahavara Windowsi versioon, mis eemaldab sama peibutusvahendi ja mille Malwarebytes märkas 4. augustil ohuluure uurija Jazi, vastavalt ESET-ile.

Kampaanias kasutatud pahavara loob ühenduse ka teistsuguse käsu ja juhtimise (C2) infrastruktuuriga kui mais avastatud pahavara https:[//]concrecapital[.]com/%user%[.]jpg, mis ei reageerinud, kui teadlased püüdsid sellega ühendust luua.

Lazarus on lahti

Põhja-Korea Lazarus on hästi tuntud kui üks viljakamaid APT-sid ja on juba rahvusvaheliste võimude sihtpunktis, kuna USA valitsus kehtestas talle 2019. aastal sanktsioonid.

Lazarus on tuntud selle poolest, et on suunatud teadlastele, ajakirjanikele ja erinevate tööstusharude professionaalidele, eriti kaitsetööstus– koguda Kim Jong-uni režiimile luureandmeid ja rahalist toetust. See on sageli kasutanud jäljendamisviise, mis on sarnased operatsioonis In(ter)ception, et püüda ohvreid pahavara sööta haarama.

Eelmine kampaania tuvastati samuti jaanuaris suunatud tööd otsivad insenerid andes andmepüügikampaanias neile võltsitud töövõimalusi. Rünnakutel kasutati Windows Update'i kui maapealset tehnikat ja GitHubi C2-serverina.

Vahepeal sarnane kampaania avastati eelmisel aastal nägi Lazarust kehastamas kaitsetöövõtjaid Boeingut ja General Motorsi ning väites, et otsib tööle kandidaate ainult pahatahtlike dokumentide levitamiseks.

Selle muutmine

Kuid viimasel ajal on Lazarus oma taktikat mitmekesistanud, sest Föderatsioonid on paljastanud, et Lazarus on vastutanud ka mitme krüptovarguse eest, mille eesmärk oli Jong-uni režiimi sularahaga täita.

Selle tegevusega seotud USA valitsus kehtestatud sanktsioonid krüptovaluutade segistiteenuse Tornado Cash vastu, kuna aitas Lazarusel pesta sularaha küberkuritegevusest, mis nende arvates on osaliselt mõeldud Põhja-Korea raketiprogrammi rahastamiseks.

Lazarus on oma meeletu küberväljapressimise ajal isegi oma varba lunavarasse kastnud. Mais küberturbefirma Trellix teadlased sidus hiljuti ilmunud VHD lunavara Põhja-Korea APT-le.