APT-ul nord-coreean folosește o postare de locuri de muncă falsă pentru Coinbase într-o campanie de spionaj cibernetic care vizează atât utilizatorii sistemelor Apple, cât și cele bazate pe Intel.
APT nord-coreean Lazăr este la nivelul vechilor sale trucuri cu o campanie de spionaj cibernetic care vizează inginerii cu o postare falsă de locuri de muncă care încearcă să răspândească malware macOS. Executabilul rău intenționat pentru Mac folosit în campanie vizează atât sistemele Apple, cât și cele bazate pe cip Intel.
Campania, identificată de cercetătorii din Laboratoarele de cercetare ESET și dezvăluit în a serie de tweets postat marți, se usurează comerciant de criptomonede Coinbase într-o fișă a postului care pretinde că caută un manager de inginerie pentru securitatea produsului, au divulgat cercetătorii.
Denumită Operațiunea In(ter)ception, campania recentă elimină un executabil Mac semnat deghizat ca o fișă a postului pentru Coinbase, pe care cercetătorii au descoperit că a fost încărcat în VirusTotal din Brazilia, au scris ei.
„Malware-ul este compilat atât pentru Intel, cât și pentru Apple Silicon”, potrivit unuia dintre tweet-uri. „Pune trei fișiere: un document PDF momeală Coinbase_online_careers_2022_07.pdf, un pachet http[://]FinderFontsUpdater[.]app și un safarifontagent de descărcare.”
Asemănări cu programele malware anterioare
Malware-ul este similar cu un eșantion descoperit de ESET în mai, care includea și un executabil semnat deghizat sub formă de fișă a postului, a fost compilat atât pentru Apple, cât și pentru Intel și a renunțat la o momeală PDF, au spus cercetătorii.
Cu toate acestea, cel mai recent malware este semnat pe 21 iulie, conform ștampilei de timp, ceea ce înseamnă că este fie ceva nou, fie o variantă a malware-ului anterior. Acesta folosește un certificat emis în februarie 2022 unui dezvoltator pe nume Shankey Nohria și care a fost revocat de Apple pe 12 august, au spus cercetătorii. Aplicația în sine nu a fost legalizată.
Operațiunea In(ter)ception are, de asemenea, o versiune însoțitoare Windows a malware-ului care aruncă aceeași momeală și a fost observată pe 4 august de Malwarebytes Jazi, cercetător în domeniul informațiilor despre amenințări, conform ESET.
Malware-ul folosit în campanie se conectează și la o infrastructură de comandă și control (C2) diferită de cea descoperită în mai, https:[//]concrecapital[.]com/%user%[.]jpg, care nu a răspuns când cercetătorii au încercat să se conecteze la el.
Lazăr în libertate
Lazarus din Coreea de Nord este bine cunoscut ca unul dintre cele mai prolifice APT-uri și se află deja în punctul de mirare al autorităților internaționale, fiind sancționat în 2019 de guvernul SUA.
Lazarus este cunoscut pentru că vizează cadre universitare, jurnaliști și profesioniști din diverse industrii, în special industria de apărare– pentru a aduna informații și sprijin financiar pentru regimul lui Kim Jong-un. A folosit adesea trucuri de uzurpare similare cu cea observată în Operațiunea In(ter)ception pentru a încerca să convingă victimele să ia momeala malware.
O campanie anterioară identificată și în ianuarie inginerii în căutarea unui loc de muncă vizați agățandu-le oportunități false de angajare într-o campanie de spear-phishing. Atacurile au folosit Windows Update ca tehnică de a trăi din teren și GitHub ca server C2.
Între timp, a campanie similară descoperită anul trecut L-am văzut pe Lazarus usurându-se pe contractorii de apărare Boeing și General Motors și pretinzând că caută candidați doar pentru a răspândi documente rău intenționate.
Schimbându-l
Cu toate acestea, mai recent, Lazarus și-a diversificat tactica, federalii dezvăluind că Lazarus a fost, de asemenea, responsabil pentru o serie de furturi criptografice menite să umple regimul lui Jong-un cu numerar.
Legat de această activitate, guvernul SUA aplicate sancțiuni împotriva serviciului de mixare de criptomonede Tornado Cash pentru că l-a ajutat pe Lazarus să spăleze numerar din activitățile sale cibernetice, despre care ei cred că sunt în parte pentru a finanța programul de rachete al Coreei de Nord.
Lazarus chiar și-a înmuiat degetul de la picior în ransomware în mijlocul freneziei sale de activități de extorcare cibernetică. În mai, cercetătorii de la firma de securitate cibernetică Trellix a legat ransomware-ul VHD recent apărut la APT-ul nord-coreean.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://threatpost.com/apt-lazarus-macos-malware/180426/
- :are
- :este
- :nu
- $UP
- 12
- 2019
- 2022
- 50
- 700
- a
- cadre universitare
- Conform
- activităţi de
- activitate
- împotriva
- vizează
- deja
- de asemenea
- În mijlocul
- an
- și
- aplicaţia
- Apple
- APT
- SUNT
- AS
- At
- Atacuri
- încercare
- august
- Autoritățile
- înapoi
- sprijin
- momeală
- fost
- fiind
- Crede
- Boeing
- atât
- Brazilia
- Pachet
- by
- Campanie
- candidaţilor
- Bani gheata
- certificat
- revendicare
- coinbase
- tovarăş
- Conectați
- Connects
- antreprenori
- Control
- cursorul
- cripto
- cryptocurrency
- Mixer de criptomonede
- CYBERCRIMINAL
- Ciberespionajul
- cyberextortion
- Securitate cibernetică
- Apărare
- descriere
- Dezvoltator
- FĂCUT
- diferit
- a descoperit
- diversificat
- document
- documente
- scăzut
- scăparea
- Picături
- oricare
- a apărut
- ocuparea forţei de muncă
- Inginerie
- inginerii
- Chiar
- fals
- februarie
- Federalii
- Fişiere
- financiar
- Firmă
- Pentru
- frenezie
- din
- fond
- aduna
- General
- General Motors
- obține
- GitHub
- Guvern
- având în
- ajutor
- HTTPS
- identificat
- in
- inclus
- INFOSEC
- Infrastructură
- Intel
- Inteligență
- Internațional
- Emis
- IT
- ESTE
- în sine
- ianuarie
- Loc de munca
- jurnaliştii
- iulie
- Kim
- Kim Jong-un
- cunoscut
- Coreea
- Coreeană
- Nume
- Lazăr
- mac
- MacOS
- malware
- Malwarebytes
- manager
- max-width
- Mai..
- mijloace
- Baterie
- mai mult
- cele mai multe
- Motoare
- Numit
- Nou
- Stiri lunare via e-mail
- North
- număr
- observate
- of
- de multe ori
- Vechi
- on
- ONE
- afară
- operaţie
- Oportunităţi
- or
- Prezentare generală
- parte
- Plato
- Informații despre date Platon
- PlatoData
- postat
- precedent
- Produs
- profesioniști
- Program
- prolific
- Ransomware
- recent
- recent
- regim
- cercetare
- cercetător
- cercetători
- Răspunde
- responsabil
- Dezvăluit
- revelator
- s
- Said
- acelaşi
- consacrat
- văzut
- securitate
- Căuta
- serverul
- serviciu
- semnat
- Siliciu
- asemănător
- ceva
- răspândire
- sisteme
- tactică
- Lua
- direcționare
- obiective
- tehnică
- decât
- acea
- Lor
- ei
- acest
- trei
- timestamp-ul
- la
- tornadă
- TornadoCash
- comerciant
- încercat
- încerca
- marţi
- tweets
- ne
- Guvernul SUA
- neacoperit
- Actualizează
- încărcat
- utilizat
- utilizatorii
- utilizări
- folosind
- Variantă
- diverse
- versiune
- victime
- a fost
- BINE
- cand
- care
- ferestre
- cu
- scris
- zephyrnet
