L'APT nordcoreano sta utilizzando un falso annuncio di lavoro per Coinbase in una campagna di cyberspionaggio rivolta agli utenti di sistemi Apple e Intel.
APT nordcoreano Lazarus sta riprendendo i suoi vecchi trucchi con una campagna di cyberspionaggio che prende di mira gli ingegneri con un falso annuncio di lavoro che tenta di diffondere malware macOS. L'eseguibile Mac dannoso utilizzato nella campagna prende di mira sia i sistemi basati su chip Apple che quelli Intel.
La campagna, identificata dai ricercatori di Laboratori di ricerca ESET e rivelato in a serie di tweet pubblicato martedì, impersona commerciante di criptovaluta Coinbase in una descrizione del lavoro in cui affermavano di cercare un responsabile tecnico per la sicurezza del prodotto, i ricercatori hanno divulgato.
Soprannominata Operazione In(ter)ception, la recente campagna rilascia un eseguibile Mac firmato mascherato da descrizione del lavoro per Coinbase, che i ricercatori hanno scoperto caricato su VirusTotal dal Brasile, hanno scritto.
"Il malware viene compilato sia per Intel che per Apple Silicon", si legge in uno dei tweet. "Rilascia tre file: un documento PDF esca Coinbase_online_careers_2022_07.pdf, un bundle http[://]FinderFontsUpdater[.]app e un downloader safarifontagent."
Somiglianze con il malware precedente
Il malware è simile ad un campione scoperto da ESET a maggio, che includeva anche un eseguibile firmato mascherato da descrizione del lavoro, è stato compilato sia per Apple che per Intel e ha rilasciato un esca PDF, hanno detto i ricercatori.
Tuttavia, il malware più recente è firmato il 21 luglio, secondo il timestamp, il che significa che si tratta di qualcosa di nuovo o di una variante del malware precedente. Utilizza un certificato rilasciato nel febbraio 2022 a uno sviluppatore chiamato Shankey Nohria e che è stato revocato da Apple il 12 agosto, hanno detto i ricercatori. L'app stessa non è stata autenticata.
Operation In(ter)ception dispone anche di una versione Windows complementare del malware che rilascia la stessa esca e viene individuata il 4 agosto da Malwarebytes Jazi, ricercatore di intelligence sulle minacce, secondo ESET.
Il malware utilizzato nella campagna si collega inoltre a un'infrastruttura di comando e controllo (C2) diversa rispetto al malware scoperto a maggio, https:[//]concrecapital[.]com/%user%[.]jpg, che non ha risposto quando i ricercatori hanno provato a collegarsi ad esso.
Lazzaro in libertà
Il Lazarus della Corea del Nord è ben noto come uno degli APT più prolifici ed è già nel mirino delle autorità internazionali, essendo stato sanzionato nel 2019 dal governo degli Stati Uniti.
Lazarus è noto per prendere di mira accademici, giornalisti e professionisti in vari settori, in particolare quello industria della difesa–raccogliere intelligence e sostegno finanziario per il regime di Kim Jong-un. Ha spesso utilizzato stratagemmi di impersonificazione simili a quello osservato nell'Operazione In(ter)ception per cercare di indurre le vittime ad abboccare all'esca del malware.
Anche una precedente campagna identificata a gennaio ingegneri in cerca di lavoro mirati proponendo loro false opportunità di lavoro in una campagna di spear-phishing. Gli attacchi hanno utilizzato Windows Update come tecnica per vivere fuori terra e GitHub come server C2.
Nel frattempo, un campagna simile scoperta l'anno scorso ha visto Lazarus impersonare gli appaltatori della difesa Boeing e General Motors e affermare di cercare candidati al lavoro solo per diffondere documenti dannosi.
Cambiarlo
Tuttavia, più recentemente Lazarus ha diversificato le sue tattiche, con i federali che hanno rivelato che Lazarus è stato anche responsabile di una serie di furti di criptovalute volti a riempire di denaro il regime di Jong-un.
Legato a questa attività, il governo degli Stati Uniti sanzioni comminate contro il servizio di miscelazione di criptovalute Tornado Cash per aver aiutato Lazarus a riciclare denaro proveniente dalle sue attività criminali informatiche, che secondo loro servono in parte a finanziare il programma missilistico della Corea del Nord.
Lazarus si è persino tuffato nel ransomware nel corso della sua frenetica attività di estorsione informatica. A maggio, i ricercatori della società di sicurezza informatica Trellix legato al ransomware VHD recentemente emerso all'APT nordcoreano.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://threatpost.com/apt-lazarus-macos-malware/180426/
- :ha
- :È
- :non
- $ SU
- 12
- 2019
- 2022
- 50
- 700
- a
- accademici
- Secondo
- attività
- attività
- contro
- Mirato
- già
- anche
- Tra
- an
- ed
- App
- Apple
- APT
- SONO
- AS
- At
- attacchi
- tentativo
- Agosto
- Autorità
- precedente
- sostegno
- esca
- stato
- essendo
- CREDIAMO
- Boeing
- entrambi
- Brasil
- impacchettare
- by
- Campagna
- i candidati
- Contanti
- a livello internazionale
- sostenendo
- coinbase
- compagno
- Connettiti
- collega
- appaltatori
- di controllo
- mirino
- crypto
- criptovaluta
- Mixer di criptovalute
- CIBERCRIMINALE
- Cyber-spionaggio
- ciberestorsione
- Cybersecurity
- Difesa
- descrizione
- Costruttori
- DID
- diverso
- scoperto
- variegato
- documento
- documenti
- caduto
- lancio
- Gocce
- o
- emerse
- occupazione
- Ingegneria
- Ingegneri
- Anche
- falso
- Febbraio
- Feds
- File
- finanziario
- Impresa
- Nel
- frenesia
- da
- fondo
- raccogliere
- Generale
- General Motors
- ottenere
- GitHub
- Enti Pubblici
- avendo
- aiutare
- HTTPS
- identificato
- in
- incluso
- INFOSEC
- Infrastruttura
- Intel
- Intelligence
- Internazionale
- Rilasciato
- IT
- SUO
- stessa
- Gennaio
- Lavoro
- Giornalisti
- Luglio
- Kim
- Kim Jong-un
- conosciuto
- Corea
- Coreano
- Cognome
- Lazarus
- Mac
- macos
- il malware
- Malwarebytes
- direttore
- max-width
- Maggio..
- si intende
- di mischiare
- Scopri di più
- maggior parte
- motori
- Detto
- New
- Newsletter
- Nord
- numero
- osservato
- of
- di frequente
- Vecchio
- on
- ONE
- esclusivamente
- operazione
- Opportunità
- or
- panoramica
- parte
- Platone
- Platone Data Intelligence
- PlatoneDati
- postato
- precedente
- Prodotto
- Scelto dai professionisti
- Programma
- prolifico
- ransomware
- recente
- recentemente
- regime
- riparazioni
- ricercatore
- ricercatori
- Rispondere
- responsabile
- Rivelato
- rivelando
- s
- Suddetto
- stesso
- sanzionato
- sega
- problemi di
- Cercare
- server
- servizio
- firmato
- Silicio
- simile
- qualcosa
- diffondere
- SISTEMI DI TRATTAMENTO
- tattica
- Fai
- mira
- obiettivi
- per l'esame
- di
- che
- Il
- Li
- di
- questo
- tre
- timestamp
- a
- tornado
- Tornado Cash
- commerciante
- provato
- prova
- Martedì
- tweet
- noi
- Governo degli Stati Uniti
- scoperto
- Aggiornanento
- caricato
- utilizzato
- utenti
- usa
- utilizzando
- Variante
- vario
- versione
- vittime
- Prima
- WELL
- quando
- quale
- finestre
- con
- ha scritto
- zefiro
