APT Lazarus atakuje inżynierów za pomocą złośliwego oprogramowania macOS

Północnokoreański APT Łazarz jest zgodny ze swoimi starymi sztuczkami z kampanią cyberszpiegowską skierowaną do inżynierów z fałszywą ofertą pracy, która ma na celu rozpowszechnianie złośliwego oprogramowania dla macOS. Wykorzystywany w kampanii złośliwy plik wykonywalny na komputery Mac atakuje zarówno systemy oparte na chipach Apple, jak i Intel.

Kampania, zidentyfikowana przez badaczy z Laboratoria badawcze ESET i ujawnione w seria tweetów napisano we wtorek, podszywa się pod trader kryptowalut Coinbase w opisie stanowiska, który twierdzi, że szuka kierownika ds. inżynierii ds. bezpieczeństwa produktu, naukowcy ujawnili.

Nazywana Operacją In(ter)cepcja, ostatnia kampania wyrzuca podpisany plik wykonywalny Maca zamaskowany jako opis stanowiska pracy dla Coinbase, który badacze odkryli, przesłany do VirusTotal z Brazylii, napisali.„Złośliwe oprogramowanie jest kompilowane zarówno dla Intela, jak i Apple Silicon”, zgodnie z jednym z tweetów. „Upuszcza trzy pliki: wabiący dokument PDF Coinbase_online_careers_2022_07.pdf, pakiet http[://]FinderFontsUpdater[.]app i downloader safarifontagent”.

Podobieństwa do poprzedniego złośliwego oprogramowania

Złośliwe oprogramowanie jest podobny do próbki odkryty przez firmę ESET w maju, który zawierał również podpisany plik wykonywalny zamaskowany jako opis stanowiska, został skompilowany zarówno dla Apple, jak i Intela i upuścił wabik PDF, twierdzą naukowcy.

Jednak najnowsze złośliwe oprogramowanie zostało podpisane 21 lipca, zgodnie z jego sygnaturą czasową, co oznacza, że ​​jest albo czymś nowym, albo wariantem poprzedniego złośliwego oprogramowania. Używa certyfikatu wydanego w lutym 2022 roku programiście o nazwie Shankey Nohria, który został unieważniony przez Apple 12 sierpnia, poinformowali badacze. Sama aplikacja nie została poświadczona notarialnie.

Operation In(ter)ception ma również towarzyszącą wersję złośliwego oprogramowania dla systemu Windows, która upuszcza tę samą przynętę i została zauważona 4 sierpnia przez Malwarebytes badacz wywiadu zagrożeń Jazi, według firmy ESET.

Szkodliwe oprogramowanie użyte w kampanii łączy się również z inną infrastrukturą dowodzenia i kontroli (C2) niż złośliwe oprogramowanie wykryte w maju, https:[//]concrecapital[.]com/%user%[.]jpg, które nie reagowało, gdy naukowcy próbowali się z nim połączyć.

Łazarz na wolności

Lazarus z Korei Północnej jest dobrze znany jako jeden z najbardziej płodnych APT i już znajduje się na celowniku władz międzynarodowych, ponieważ został ukarany w 2019 r. przez rząd USA.

Lazarus jest znany z tego, że atakuje naukowców, dziennikarzy i specjalistów z różnych branż — w szczególności przemysł obronny– zebranie danych wywiadowczych i wsparcia finansowego dla reżimu Kim Dzong Una. Często wykorzystywał sztuczki podszywania się podobne do tych zaobserwowanych w Operacji In(inter)cepcja, aby skłonić ofiary do złapania przynęty złośliwego oprogramowania.

Poprzednia kampania zidentyfikowana również w styczniu ukierunkowani inżynierowie poszukujący pracy rzucając im fałszywe oferty pracy w ramach kampanii phishingu włóczni. Ataki wykorzystywały Windows Update jako technikę życia poza terenem i GitHub jako serwer C2.

Tymczasem podobna kampania odkryta w zeszłym roku widziałem, jak Lazarus podszywa się pod wykonawców obrony Boeing i General Motors i twierdzi, że szuka kandydatów do pracy tylko po to, by rozpowszechniać złośliwe dokumenty.

Zmiana go w górę

Jednak ostatnio Lazarus zdywersyfikował swoją taktykę, a federalni ujawnili, że Lazarus był również odpowiedzialny za szereg napadów na kryptowaluty, których celem było wypełnienie reżimu Jong-un gotówką.

W związku z tą działalnością rząd USA nałożone sankcje przeciwko usłudze miksera kryptowalut Tornado Cash za pomoc Lazarusowi w praniu pieniędzy z działalności cyberprzestępczej, która, jak sądzą, po części ma na celu finansowanie programu rakietowego Korei Północnej.

Lazarus nawet zanurzył palec w oprogramowaniu ransomware pośród szaleństwa cyberwymuszenia. W maju badacze z firmy Trellix zajmującej się cyberbezpieczeństwem powiązał niedawno pojawiające się oprogramowanie ransomware VHD do północnokoreańskiego APT.