एपीटी लाजर मैकोज़ मैलवेयर के साथ इंजीनियरों को लक्षित करता है

उत्तर कोरियाई एपीटी लाजास्र्स एक नकली नौकरी पोस्टिंग के साथ इंजीनियरों को लक्षित करने वाले साइबर जासूसी अभियान के साथ अपनी पुरानी चाल पर निर्भर है जो मैकोज़ मैलवेयर फैलाने का प्रयास करता है। अभियान में उपयोग किया गया दुर्भावनापूर्ण मैक निष्पादन योग्य ऐप्पल और इंटेल चिप-आधारित सिस्टम दोनों को लक्षित करता है।

के शोधकर्ताओं द्वारा पहचाना गया अभियान ईएसईटी रिसर्च लैब्स और एक में पता चला ट्वीट्स की श्रृंखला मंगलवार को पोस्ट किया गया, प्रतिरूपण करता है क्रिप्टोक्यूरेंसी व्यापारी कॉइनबेस उत्पाद सुरक्षा के लिए एक इंजीनियरिंग प्रबंधक की तलाश करने का दावा करने वाले नौकरी विवरण में, शोधकर्ताओं ने खुलासा किया।

डब्ड ऑपरेशन इन (टेर) सेप्शन, हालिया अभियान ने कॉइनबेस के लिए नौकरी के विवरण के रूप में प्रच्छन्न एक हस्ताक्षरित मैक निष्पादन योग्य को छोड़ दिया, जिसे शोधकर्ताओं ने ब्राजील से वायरसटोटल पर अपलोड किया, उन्होंने लिखा।"मैलवेयर इंटेल और ऐप्पल सिलिकॉन दोनों के लिए संकलित किया गया है," एक ट्वीट के अनुसार। "यह तीन फाइलों को छोड़ देता है: एक डिकॉय पीडीएफ दस्तावेज़ Coinbase_online_careers_2022_07.pdf, एक बंडल http[://]FinderFontsUpdater[।] ऐप और एक डाउनलोडर safarifontagent।"

पिछले मैलवेयर से समानताएं

मैलवेयर है नमूने के समान शोधकर्ताओं ने कहा कि मई में ईएसईटी द्वारा खोजा गया, जिसमें नौकरी के विवरण के रूप में प्रच्छन्न एक हस्ताक्षरित निष्पादन योग्य भी शामिल था, जिसे ऐप्पल और इंटेल दोनों के लिए संकलित किया गया था, और एक पीडीएफ डिकॉय गिरा दिया गया था।

हालांकि, सबसे हालिया मैलवेयर 21 जुलाई को उसके टाइमस्टैम्प के अनुसार हस्ताक्षरित है, जिसका अर्थ है कि यह या तो कुछ नया है या पिछले मैलवेयर का एक प्रकार है। यह फरवरी 2022 में शैंकी नोहरिया नाम के एक डेवलपर को जारी किए गए प्रमाणपत्र का उपयोग करता है और जिसे Apple द्वारा 12 अगस्त को रद्द कर दिया गया था, शोधकर्ताओं ने कहा। ऐप को ही नोटरीकृत नहीं किया गया था।

ऑपरेशन इन (टेर) सेप्शन में मैलवेयर का एक साथी विंडोज संस्करण भी है जो उसी डिकॉय को छोड़ देता है और 4 अगस्त को मालवेयरबाइट्स द्वारा देखा जाता है। ख़तरनाक ख़ुफ़िया शोधकर्ता जैज़िकईएसईटी के अनुसार।

अभियान में उपयोग किया गया मैलवेयर मई में खोजे गए मैलवेयर की तुलना में एक अलग कमांड और नियंत्रण (C2) बुनियादी ढांचे से भी जुड़ता है, https:[//]concrecapital[.]com/%user%[.]jpg, जिसने जवाब नहीं दिया जब शोधकर्ताओं ने इससे जुड़ने की कोशिश की।

लूज पर लाजर

उत्तर कोरिया के लाजर को सबसे विपुल एपीटी में से एक के रूप में जाना जाता है और पहले से ही अंतरराष्ट्रीय अधिकारियों के क्रॉसहेयर में है, जिसे अमेरिकी सरकार द्वारा 2019 में वापस स्वीकृत किया गया था।

लाजर विभिन्न उद्योगों में शिक्षाविदों, पत्रकारों और पेशेवरों को लक्षित करने के लिए जाना जाता है—विशेष रूप से रक्षा उद्योग-किम जोंग-उन के शासन के लिए खुफिया और वित्तीय सहायता इकट्ठा करना। इसने अक्सर ऑपरेशन इन (टेर) सेप्शन में देखे गए प्रतिरूपण चालों का इस्तेमाल किया है ताकि पीड़ितों को मैलवेयर का शिकार बनाने की कोशिश की जा सके।

एक पिछला अभियान जनवरी में भी पहचाना गया लक्षित नौकरी चाहने वाले इंजीनियर स्पीयर-फ़िशिंग अभियान में उन पर नकली रोज़गार के अवसरों को लटकाकर। हमलों ने विंडोज अपडेट को एक जीवित तकनीक के रूप में और गिटहब को सी 2 सर्वर के रूप में इस्तेमाल किया।

इस बीच, एक पिछले साल खुला इसी तरह का अभियान लाजर ने रक्षा ठेकेदारों बोइंग और जनरल मोटर्स का प्रतिरूपण करते हुए देखा और केवल दुर्भावनापूर्ण दस्तावेज़ फैलाने के लिए नौकरी के उम्मीदवारों की तलाश करने का दावा किया।

इसे बदल रहा है

हालाँकि, हाल ही में लाजर ने अपनी रणनीति में विविधता लाई है, फेड ने खुलासा किया है कि लाजर जोंग-उन के शासन को नकदी के साथ पैडिंग करने के उद्देश्य से कई क्रिप्टो डकैतियों के लिए भी जिम्मेदार है।

इस गतिविधि से संबंधित, अमेरिकी सरकार लगाए गए प्रतिबंध क्रिप्टोक्यूरेंसी मिक्सर सेवा टॉरनेडो कैश के खिलाफ लाजर को अपनी साइबर आपराधिक गतिविधियों से नकदी की मदद करने के लिए, जो वे मानते हैं कि उत्तर कोरिया के मिसाइल कार्यक्रम को निधि देने के लिए किया जा रहा है।

साइबरएक्सटॉर्शन गतिविधि के उन्माद के बीच लाजर ने अपने पैर की अंगुली को रैंसमवेयर में भी डुबो दिया है। मई में, साइबर सुरक्षा फर्म ट्रेलिक्स के शोधकर्ताओं ने हाल ही में सामने आए वीएचडी रैंसमवेयर से जुड़ा है उत्तर कोरियाई एपीटी के लिए।