De Noord-Koreaanse APT gebruikt een nep-vacature voor Coinbase in een cyberspionagecampagne gericht op gebruikers van zowel Apple- als Intel-gebaseerde systemen.
Noord-Koreaanse APT Lazarus voert zijn oude trucs uit met een cyberspionagecampagne die zich richt op technici met een nep-vacature die proberen macOS-malware te verspreiden. Het kwaadaardige Mac-uitvoerbare bestand dat in de campagne wordt gebruikt, richt zich op zowel Apple- als Intel-chipgebaseerde systemen.
De campagne, geïdentificeerd door onderzoekers van ESET onderzoekslaboratoria en onthuld in een reeks tweets dinsdag gepost, imiteert cryptocurrency-handelaar Coinbase in een functiebeschrijving die beweerde een technisch manager voor productbeveiliging te zoeken, onthulden onderzoekers.
Nagesynchroniseerd met Operation In(ter)ception, dropt de recente campagne een ondertekend Mac-uitvoerbaar bestand vermomd als een functiebeschrijving voor Coinbase, waarvan onderzoekers ontdekten dat ze waren geüpload naar VirusTotal vanuit Brazilië, schreven ze.
"Malware is gecompileerd voor zowel Intel als Apple Silicon", aldus een van de tweets. "Het laat drie bestanden vallen: een lok PDF-document Coinbase_online_careers_2022_07.pdf, een bundel http[://]FinderFontsUpdater[.]app en een downloader safarifontagent."
Overeenkomsten met eerdere malware
De malware is gelijk aan een voorbeeld ontdekt door ESET in mei, dat ook een ondertekend uitvoerbaar bestand bevatte vermomd als een functiebeschrijving, werd samengesteld voor zowel Apple als Intel, en liet een pdf-lokvogel vallen, aldus onderzoekers.
De meest recente malware is echter ondertekend op 21 juli, volgens het tijdstempel, wat betekent dat het iets nieuws is of een variant van de vorige malware. Het maakt gebruik van een certificaat dat in februari 2022 is uitgegeven aan een ontwikkelaar genaamd Shankey Nohria en dat op 12 augustus door Apple is ingetrokken, aldus onderzoekers. De app zelf is niet notarieel bekrachtigd.
Operation In(ter)ception heeft ook een begeleidende Windows-versie van de malware die dezelfde valstrik laat vallen en op 4 augustus werd opgemerkt door Malwarebytes dreigingsinformatie-onderzoeker Jazi, volgens ESET.
De malware die in de campagne wordt gebruikt, maakt ook verbinding met een andere command and control (C2) -infrastructuur dan de malware die in mei werd ontdekt, https:[//]concrecapital[.]com/%user%[.]jpg, die niet reageerde toen onderzoekers probeerden er verbinding mee te maken.
Lazarus op vrije voeten
De Noord-Koreaanse Lazarus staat bekend als een van de meest productieve APT's en staat al in het vizier van internationale autoriteiten, nadat hij in 2019 door de Amerikaanse regering was gesanctioneerd.
Lazarus staat erom bekend zich te richten op academici, journalisten en professionals in verschillende sectoren, met name de defensie-industrie–het verzamelen van inlichtingen en financiële steun voor het regime van Kim Jong-un. Het heeft vaak imitatietrucs gebruikt die vergelijkbaar zijn met degene die werd waargenomen in Operation In(ter)ception om te proberen slachtoffers ertoe te brengen het malwareaas te pakken.
Een eerdere campagne geïdentificeerd in januari ook gerichte werkzoekende ingenieurs door nep-vacatures aan hen te bungelen in een spear-phishing-campagne. De aanvallen gebruikten Windows Update als een techniek van het leven van het land en GitHub als een C2-server.
Ondertussen een soortgelijke campagne vorig jaar ontdekt zag Lazarus zich voordoen als defensieaannemers Boeing en General Motors en beweerde sollicitanten alleen te zoeken om kwaadaardige documenten te verspreiden.
Het veranderen
Meer recentelijk heeft Lazarus zijn tactieken gediversifieerd, waarbij de FBI onthulde dat Lazarus ook verantwoordelijk was voor een aantal crypto-overvallen die erop gericht waren het regime van Jong-un met contant geld te vullen.
Met betrekking tot deze activiteit heeft de Amerikaanse regering opgelegde sancties tegen cryptocurrency-mixerservice Tornado Cash voor het helpen van Lazarus bij het witwassen van geld van zijn cybercriminele activiteiten, waarvan zij denken dat ze gedeeltelijk het raketprogramma van Noord-Korea financieren.
Lazarus heeft zelfs zijn teen ondergedompeld in ransomware te midden van zijn razernij van cyberafpersingsactiviteiten. In mei hebben onderzoekers van cyberbeveiligingsbedrijf Trellix bond de onlangs opgekomen VHD-ransomware naar de Noord-Koreaanse APT.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://threatpost.com/apt-lazarus-macos-malware/180426/
- : heeft
- :is
- :niet
- $UP
- 12
- 2019
- 2022
- 50
- 700
- a
- academici
- Volgens
- activiteiten
- activiteit
- tegen
- Gericht
- al
- ook
- Te midden van
- an
- en
- gebruiken
- Apple
- APT
- ZIJN
- AS
- At
- Aanvallen
- poging
- Aug
- Overheid
- terug
- steun
- aas
- geweest
- wezen
- geloofd wie en wat je bent
- Boeing
- zowel
- Brazilië
- Bundel
- by
- Campagne
- kandidaten
- Contant geld
- certificaat
- beweren
- coinbase
- metgezel
- Verbinden
- verbindt
- aannemers
- onder controle te houden
- dradenkruis
- crypto
- cryptogeld
- Cryptocurrency-mixer
- CYBERCRIMINEEL
- Cyber spionage
- cyberafpersing
- Cybersecurity
- Verdediging
- beschrijving
- Ontwikkelaar
- DEED
- anders
- ontdekt
- afwisselend
- document
- documenten
- liet vallen
- dropping
- Drops
- beide
- voortgekomen
- werk
- Engineering
- Ingenieurs
- Zelfs
- nep
- Februari
- Feds
- Bestanden
- financieel
- Stevig
- Voor
- razernij
- oppompen van
- fonds
- verzamelen
- Algemeen
- General Motors
- krijgen
- GitHub
- Overheid
- met
- het helpen van
- HTTPS
- geïdentificeerd
- in
- inclusief
- infosec
- Infrastructuur
- Intel
- Intelligentie
- Internationale
- Uitgegeven
- IT
- HAAR
- zelf
- Januari
- Jobomschrijving:
- Journalisten
- juli-
- Kim
- Kim Jong-un
- bekend
- Korea's
- Korean
- Achternaam*
- Lazarus
- Mac
- macos
- malware
- Malwarebytes
- manager
- max-width
- Mei..
- middel
- menger
- meer
- meest
- Motoren
- Genoemd
- New
- Nieuwsbrief
- noorden
- aantal
- opgemerkt
- of
- vaak
- Oud
- on
- EEN
- Slechts
- operatie
- Kansen
- or
- overzicht
- deel
- Plato
- Plato gegevensintelligentie
- PlatoData
- geplaatst
- vorig
- Product
- professionals
- Programma
- vruchtbaar
- ransomware
- recent
- onlangs
- regime
- onderzoek
- onderzoeker
- onderzoekers
- Reageren
- verantwoordelijk
- Revealed
- onthullende
- s
- Zei
- dezelfde
- Gesanctioneerd
- zagen
- veiligheid
- Zoeken
- server
- service
- Gesigneerd
- Silicium
- gelijk
- iets
- verspreiden
- Systems
- tactiek
- Nemen
- targeting
- doelen
- techniek
- neem contact
- dat
- De
- Ze
- ze
- dit
- drie
- tijdstempel
- naar
- tornado
- TornadoCash
- handelaar
- probeerden
- proberen
- dinsdag
- tweets
- ons
- Amerikaanse overheid
- ongedekt
- bijwerken
- geüpload
- gebruikt
- gebruikers
- toepassingen
- gebruik
- Variant
- divers
- versie
- slachtoffers
- was
- GOED
- wanneer
- welke
- ruiten
- Met
- schreef
- zephyrnet
