APT Lazarus retter seg mot ingeniører med macOS-malware

Nordkoreansk APT Lazarus er opp til sine gamle triks med en nettspionasjekampanje rettet mot ingeniører med en falsk stillingsannonse som forsøker å spre macOS malware. Den ondsinnede Mac-kjørbare filen som ble brukt i kampanjen retter seg mot både Apple- og Intel-brikkebaserte systemer.

Kampanjen, identifisert av forskere fra ESET Research Labs og avslørt i en serie tweets postet tirsdag, etterligner kryptovalutahandler Coinbase i en stillingsbeskrivelse som hevder å søke en ingeniørsjef for produktsikkerhet, røpet forskere.

Kalt Operation In(ter)ception, den nylige kampanjen slipper en signert Mac-kjørbar forkledd som en jobbbeskrivelse for Coinbase, som forskere oppdaget lastet opp til VirusTotal fra Brasil, skrev de."Malware er kompilert for både Intel og Apple Silicon," ifølge en av tweetene. "Den slipper tre filer: et lokkedue-PDF-dokument Coinbase_online_careers_2022_07.pdf, en pakke http[://]FinderFontsUpdater[.]-app og en safarifontagent for nedlasting."

Likheter med tidligere skadelig programvare

Skadevaren er ligner på en prøve oppdaget av ESET i mai, som også inkluderte en signert kjørbar forkledd som en stillingsbeskrivelse, ble kompilert for både Apple og Intel, og droppet en PDF-lokkedue, sa forskere.

Den siste skadelige programvaren er imidlertid signert 21. juli, i henhold til tidsstempelet, noe som betyr at det enten er noe nytt eller en variant av den tidligere skadelige programvaren. Den bruker et sertifikat utstedt i februar 2022 til en utvikler ved navn Shankey Nohria og som ble tilbakekalt av Apple 12. august, sa forskere. Selve appen ble ikke notarisert.

Operasjon In(ter)ception har også en ledsager Windows-versjon av skadelig programvare som slipper samme lokkemiddel og oppdaget 4. august av Malwarebytes trusseletterretningsforsker Jazi, ifølge ESET.

Skadevaren som brukes i kampanjen, kobles også til en annen kommando- og kontrollinfrastruktur (C2) enn skadelig programvare som ble oppdaget i mai, https:[//]concrecapital[.]com/%user%[.]jpg, som ikke svarte da forskere prøvde å koble til det.

Lasarus på frifot

Nord-Koreas Lazarus er kjent som en av de mest produktive APT-ene og er allerede i trådkorset til internasjonale myndigheter, etter å ha blitt sanksjonert tilbake i 2019 av den amerikanske regjeringen.

Lazarus er kjent for å rette seg mot akademikere, journalister og fagfolk i ulike bransjer - spesielt forsvarsindustri– å samle etterretning og økonomisk støtte til regimet til Kim Jong-un. Den har ofte brukt etterligningsknep som ligner på den som ble observert i Operation In(ter)ception for å prøve å få ofre til å ta agnet med skadelig programvare.

En tidligere kampanje ble også identifisert i januar målrettede jobbsøkende ingeniører ved å dingle falske jobbmuligheter på dem i en spyd-phishing-kampanje. Angrepene brukte Windows Update som en levende-off-the-land-teknikk og GitHub som en C2-server.

I mellomtiden, en lignende kampanje avdekket i fjor så Lazarus utgi seg for forsvarsentreprenører Boeing og General Motors og hevdet å søke jobbkandidater kun for å spre ondsinnede dokumenter.

Endre det

Nylig har imidlertid Lazarus diversifisert taktikken sin, med FBI som har avslørt at Lazarus også har vært ansvarlig for en rekke krypto-ran med sikte på å fylle regimet til Jong-un med kontanter.

Relatert til denne aktiviteten, den amerikanske regjeringen ilagt sanksjoner mot kryptovaluta-miksertjenesten Tornado Cash for å ha hjulpet Lazarus med å hvitvaske penger fra dens nettkriminelle aktiviteter, som de tror delvis er å finansiere Nord-Koreas missilprogram.

Lazarus har til og med dyppet tåen i løsepengevare midt i sin vanvidd av cyberutpressing. I mai kom forskere ved cybersikkerhetsfirmaet Trellix knyttet den nylig fremkomne VHD løsepengevare til det nordkoreanske APT.