北朝鮮の APT は、Apple と Intel ベースのシステムの両方のユーザーを対象としたサイバースパイ活動で、Coinbase の偽の求人情報を使用しています。
北朝鮮のAPT ラザロ macOS マルウェアを広めようとする偽の求人情報でエンジニアを標的とするサイバースパイ活動で、古い手口を利用しています。 キャンペーンで使用された悪意のある Mac 実行可能ファイルは、Apple と Intel の両方のチップベースのシステムを標的にしています。
の研究者によって特定されたキャンペーン ESET研究所 そして、 一連のつぶやき 火曜日投稿、なりすまし 暗号通貨トレーダー Coinbase 研究者は、製品セキュリティのエンジニアリング マネージャーを求めると主張する職務記述書で明らかにしました。
Operation In(ter)ception と名付けられた最近のキャンペーンでは、Coinbase の職務記述書を装った署名付きの Mac 実行可能ファイルが投下され、ブラジルから VirusTotal にアップロードされたことが研究者によって発見された、と彼らは書いています。ツイートの 2022 つによると、「マルウェアは Intel と Apple Silicon の両方向けにコンパイルされています。 「おとり PDF ドキュメント Coinbase_online_careers_07_XNUMX.pdf、バンドル http[://]FinderFontsUpdater[.]app、およびダウンローダー safarifontagent の XNUMX つのファイルを投下します。」
以前のマルウェアとの類似点
マルウェアは サンプルに似ている ESET が XNUMX 月に発見したこのファイルには、職務記述書を装った署名付きの実行可能ファイルも含まれており、Apple と Intel の両方向けにコンパイルされており、おとりの PDF が投下されていた、と研究者は述べています。
ただし、タイムスタンプによると、最新のマルウェアは 21 月 2022 日に署名されています。これは、新しいものか、以前のマルウェアの亜種であることを意味します。 12 年 XNUMX 月にシャンキー ノリアという名前の開発者に発行され、XNUMX 月 XNUMX 日に Apple によって取り消された証明書を使用していると研究者は述べています。 アプリ自体は公証されていません。
Operation In(ter)ception には、同じおとりを投下する Windows バージョンのマルウェアもあり、Malwarebytes によって 4 月 XNUMX 日に発見されました。 脅威インテリジェンス研究者 Jazi、ESETによると。
キャンペーンで使用されたマルウェアは、2 月に発見されたマルウェア https:[//]concrecapital[.]com/%user%[.]jpg とは異なるコマンド アンド コントロール (CXNUMX) インフラストラクチャにも接続します。研究者はそれに接続しようとしました。
ラザロ・オン・ザ・ルーズ
北朝鮮の Lazarus は、最も多作な APT の 2019 つとしてよく知られており、XNUMX 年に米国政府から制裁を受けており、すでに国際当局の標的になっています。
Lazarus は、さまざまな業界の学者、ジャーナリスト、専門家を標的にすることで知られています。 防衛産業–金正恩政権のための情報と財政的支援を集めること。 多くの場合、Operation In(ter)ception で観察されたものと同様の偽装策略を使用して、被害者にマルウェアの餌をとらせようとします。
XNUMX 月に特定された以前のキャンペーンも ターゲットを絞った求職中のエンジニア スピアフィッシングキャンペーンで偽の雇用機会を彼らにぶら下げることによって。 攻撃では、Windows Update が生活圏外の手法として使用され、GitHub が C2 サーバーとして使用されました。
一方、 昨年発見された同様のキャンペーン Lazarus が防衛請負業者のボーイングとゼネラル モーターズになりすまし、悪意のある文書を広めるためだけに求職者を探していると主張しているのを見ました。
それを変える
しかし最近では、Lazarus はその戦術を多様化しており、連邦政府は、Lazarus が正恩政権に現金を詰め込むことを目的とした多数の仮想通貨強盗にも関与していることを明らかにしています。
この活動に関連して、米国政府は 課せられた制裁 暗号通貨ミキサー サービスのトルネード キャッシュは、ラザルスがサイバー犯罪活動から現金をロンダリングするのを支援したとして、北朝鮮のミサイル計画に資金を提供していると考えています。
Lazarus は、狂乱のサイバー恐喝活動の中で、ランサムウェアに足を踏み入れたことさえあります。 XNUMX 月、サイバーセキュリティ会社 Trellix の研究者は、 最近出現した VHD ランサムウェアを結び付けました 北朝鮮のAPTに。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://threatpost.com/apt-lazarus-macos-malware/180426/
- :持っている
- :は
- :not
- $UP
- 12
- 2019
- 2022
- 50
- 700
- a
- 学者
- 従った
- 活動
- アクティビティ
- に対して
- 目的としました
- 既に
- また
- の中で
- an
- および
- アプリ
- Apple
- APT
- です
- AS
- At
- 攻撃
- 試み
- 8月
- 当局
- バック
- バッキング
- 餌
- き
- さ
- 信じる
- ボーイング
- 両言語で
- ブラジル
- 一式販売
- by
- キャンペーン
- 候補
- 現金
- 証明書
- 主張
- coinbase
- コンパニオン
- お問合せ
- コネクト
- 請負業者
- コントロール
- クロスヘア
- クリプト
- cryptocurrency
- 暗号通貨ミキサー
- サイバー犯罪者
- サイバースパイ
- サイバーエクストルーション
- サイバーセキュリティ
- 防衛
- 説明
- Developer
- DID
- 異なります
- 発見
- 多様化した
- ドキュメント
- ドキュメント
- 落とした
- 落ちる
- ドロップス
- どちら
- 登場
- 雇用
- エンジニアリング
- エンジニア
- さらに
- 偽
- 2月
- FBI捜査官
- ファイナンシャル
- 会社
- 狂乱
- から
- ファンド
- 集める
- ジェネラル・モーターズ
- 取得する
- GitHubの
- 政府・公共機関
- 持って
- 助け
- HTTPS
- 特定され
- in
- 含まれました
- INFOSEC
- インフラ関連事業
- インテル
- インテリジェンス
- 世界全体
- 発行済み
- IT
- ITS
- 自体
- 1月
- ジョブ
- ジャーナリスト
- 7月
- キム
- 金正恩
- 既知の
- 韓国の
- 韓国語
- 姓
- ラザロ
- MAC
- MacOSの
- マルウェア
- Malwarebytes
- マネージャー
- 最大幅
- 五月..
- 手段
- ミキサー
- 他には?
- 最も
- モーター
- 名前付き
- 新作
- ニュースレター
- ノース
- 数
- 観測された
- of
- 頻繁に
- 古い
- on
- ONE
- の
- 操作
- 機会
- or
- 概要
- 部
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 掲示
- 前
- プロダクト
- 専門家
- 演奏曲目
- 豊富な
- ランサムウェア
- 最近
- 最近
- 政権
- 研究
- 研究者
- 研究者
- 反応します
- 責任
- 明らかに
- 明らかにする
- s
- 前記
- 同じ
- 認可済み
- 見ました
- セキュリティ
- Seek
- サービス
- 署名されました
- シリコン
- 同様の
- 何か
- 広がる
- システム
- 戦術
- 取る
- ターゲット
- ターゲット
- 技術
- より
- それ
- それら
- 彼ら
- この
- 三
- タイムスタンプ
- 〜へ
- 竜巻
- トルネードキャッシュ
- トレーダー
- 試み
- 試します
- 火曜日
- つぶやき
- 私達
- アメリカ政府
- 発見
- アップデイト
- アップロード
- 中古
- users
- 使用されます
- バリアント
- さまざまな
- バージョン
- 犠牲者
- ました
- WELL
- いつ
- which
- ウィンドウズ
- 書いた
- ゼファーネット