APT Lazarus Menargetkan Insinyur dengan MacOS Malware

APT Korea Utara Lazarus terserah trik lamanya dengan kampanye spionase cyber yang menargetkan insinyur dengan posting pekerjaan palsu yang mencoba menyebarkan malware macOS. Eksekusi Mac berbahaya yang digunakan dalam kampanye menargetkan sistem berbasis chip Apple dan Intel.

Kampanye tersebut, diidentifikasi oleh para peneliti dari Lab Penelitian ESET dan terungkap dalam serangkaian tweet diposting Selasa, meniru pedagang cryptocurrency Coinbase dalam deskripsi pekerjaan yang mengaku mencari manajer teknik untuk keamanan produk, ungkap para peneliti.

Dijuluki Operation In(ter)ception, kampanye baru-baru ini menjatuhkan executable Mac yang ditandatangani yang disamarkan sebagai deskripsi pekerjaan untuk Coinbase, yang ditemukan para peneliti diunggah ke VirusTotal dari Brasil, tulis mereka.“Malware dikompilasi untuk Intel dan Apple Silicon,” menurut salah satu tweet. “Ini menjatuhkan tiga file: dokumen PDF umpan Coinbase_online_careers_2022_07.pdf, bundel http[://]FinderFontsUpdater[.]aplikasi dan safarifontagent pengunduh.”

Kemiripan dengan Malware Sebelumnya

Malwarenya adalah mirip dengan sampel ditemukan oleh ESET pada bulan Mei, yang juga termasuk executable yang ditandatangani yang disamarkan sebagai deskripsi pekerjaan, dikompilasi untuk Apple dan Intel, dan menjatuhkan umpan PDF, kata para peneliti.

Namun, malware terbaru ditandatangani 21 Juli, menurut stempel waktunya, yang berarti itu adalah sesuatu yang baru atau varian dari malware sebelumnya. Itu menggunakan sertifikat yang dikeluarkan pada Februari 2022 untuk pengembang bernama Shankey Nohria dan yang dicabut oleh Apple pada 12 Agustus, kata para peneliti. Aplikasi itu sendiri tidak disahkan.

Operation In(ter)ception juga memiliki versi Windows pendamping dari malware yang menjatuhkan umpan yang sama dan ditemukan pada 4 Agustus oleh Malwarebytes peneliti intelijen ancaman Jazi, menurut ESET.

Malware yang digunakan dalam kampanye juga terhubung ke infrastruktur command and control (C2) yang berbeda dari malware yang ditemukan pada bulan Mei, https:[//]concrecapital[.]com/%user%[.]jpg, yang tidak merespons saat peneliti mencoba menghubungkannya.

Lazarus di Loose

Lazarus Korea Utara dikenal sebagai salah satu APT paling produktif dan sudah berada di garis bidik otoritas internasional, yang telah diberi sanksi pada tahun 2019 oleh pemerintah AS.

Lazarus dikenal karena menargetkan akademisi, jurnalis, dan profesional di berbagai industri—terutama industri industri pertahanan–untuk mengumpulkan intelijen dan dukungan keuangan untuk rezim Kim Jong-un. Itu sering menggunakan tipuan peniruan yang mirip dengan yang diamati dalam Operasi In(ter)ception untuk mencoba membuat korban mengambil umpan malware.

Kampanye sebelumnya yang diidentifikasi pada bulan Januari juga insinyur pencari kerja yang ditargetkan dengan menggantungkan peluang kerja palsu kepada mereka dalam kampanye spear-phishing. Serangan tersebut menggunakan Pembaruan Windows sebagai teknik hidup di luar negeri dan GitHub sebagai server C2.

Sementara itu, kampanye serupa terungkap tahun lalu melihat Lazarus menyamar sebagai kontraktor pertahanan Boeing dan General Motors dan mengaku mencari kandidat pekerjaan hanya untuk menyebarkan dokumen jahat.

Mengubahnya

Namun, baru-baru ini Lazarus telah mendiversifikasi taktiknya, dengan FBI mengungkapkan bahwa Lazarus juga bertanggung jawab atas sejumlah perampokan kripto yang bertujuan untuk memberikan uang tunai kepada rezim Jong-un.

Terkait kegiatan ini, pemerintah AS dikenakan sanksi terhadap layanan mixer cryptocurrency Tornado Cash karena membantu Lazarus mencuci uang tunai dari kegiatan kejahatan dunia mayanya, yang mereka yakini sebagian adalah untuk mendanai program rudal Korea Utara.

Lazarus bahkan telah mencelupkan kakinya ke dalam ransomware di tengah hiruk pikuk aktivitas pemerasan dunia maya. Pada bulan Mei, para peneliti di perusahaan keamanan siber Trellix mengikat ransomware VHD yang baru muncul ke APT Korea Utara.