APT Lazarus กำหนดเป้าหมายวิศวกรด้วย macOS Malware

เกาหลีเหนือ APT ลาซารัส ขึ้นอยู่กับกลอุบายเก่า ๆ ด้วยแคมเปญจารกรรมทางอินเทอร์เน็ตที่กำหนดเป้าหมายวิศวกรด้วยการโพสต์งานปลอมที่พยายามแพร่กระจายมัลแวร์ macOS โปรแกรมปฏิบัติการ Mac ที่เป็นอันตรายซึ่งใช้ในแคมเปญกำหนดเป้าหมายทั้งระบบที่ใช้ชิปของ Apple และ Intel

แคมเปญระบุโดยนักวิจัยจาก ห้องปฏิบัติการวิจัยของ ESET และเปิดเผยใน ชุดทวีต โพสต์เมื่อวันอังคาร แอบอ้าง ผู้ค้าสกุลเงินดิจิทัล Coinbase นักวิจัยเปิดเผยในรายละเอียดงานที่อ้างว่าต้องการหาผู้จัดการด้านวิศวกรรมเพื่อความปลอดภัยของผลิตภัณฑ์

การขนานนามว่า Operation In (ter)ception แคมเปญล่าสุดได้ลบ Mac ปฏิบัติการที่ลงนามแล้วซึ่งปลอมแปลงเป็นรายละเอียดงานสำหรับ Coinbase ซึ่งนักวิจัยค้นพบว่าอัปโหลดไปยัง VirusTotal จากบราซิล“มัลแวร์ถูกรวบรวมสำหรับทั้ง Intel และ Apple Silicon” ตามหนึ่งในทวีต “มันลดลงสามไฟล์: เอกสาร PDF ล่อ Coinbase_online_careers_2022_07.pdf, แอพ http[://]FinderFontsUpdater[.] บันเดิล และตัวดาวน์โหลด safarifontagent”

ความคล้ายคลึงกันกับมัลแวร์ก่อนหน้า

มัลแวร์คือ คล้ายกับตัวอย่าง นักวิจัยกล่าวว่า ESET ค้นพบเมื่อเดือนพฤษภาคม ซึ่งรวมถึงไฟล์ปฏิบัติการที่ลงนามแล้วซึ่งปลอมแปลงเป็นคำอธิบายงาน ถูกรวบรวมสำหรับทั้ง Apple และ Intel และทิ้งไฟล์ PDF ล่อไว้ นักวิจัยกล่าว

อย่างไรก็ตาม มัลแวร์ล่าสุดมีการลงนามในวันที่ 21 กรกฎาคม ตามการประทับเวลา ซึ่งหมายความว่าอาจเป็นสิ่งใหม่หรือตัวแปรของมัลแวร์ก่อนหน้า มันใช้ใบรับรองที่ออกในเดือนกุมภาพันธ์ 2022 ให้กับนักพัฒนาชื่อ Shankey Nohria และถูกเพิกถอนโดย Apple เมื่อวันที่ 12 สิงหาคม นักวิจัยกล่าว ตัวแอปเองไม่ได้รับการรับรอง

Operation In(ter)ception ยังมีมัลแวร์เวอร์ชัน Windows ที่ปล่อยตัวล่อตัวเดียวกันและถูกพบเมื่อวันที่ 4 สิงหาคมโดย Malwarebytes Jazi . นักวิจัยข่าวกรองด้านภัยคุกคามตาม ESET

มัลแวร์ที่ใช้ในแคมเปญยังเชื่อมต่อกับโครงสร้างพื้นฐานคำสั่งและการควบคุม (C2) ที่แตกต่างจากมัลแวร์ที่ค้นพบในเดือนพฤษภาคม https:[//]concrecapital[.]com/%user%[.]jpg ซึ่งไม่ตอบสนองเมื่อ นักวิจัยพยายามเชื่อมต่อกับมัน

ลาซารัสออนเดอะลูส

Lazarus ของเกาหลีเหนือเป็นที่รู้จักกันดีว่าเป็นหนึ่งใน APT ที่อุดมสมบูรณ์ที่สุด และตกเป็นเป้าสายตาของทางการระหว่างประเทศแล้ว โดยถูกรัฐบาลสหรัฐฯ คว่ำบาตรในปี 2019

ลาซารัสเป็นที่รู้จักจากกลุ่มเป้าหมายที่เป็นนักวิชาการ นักข่าว และผู้เชี่ยวชาญในอุตสาหกรรมต่างๆ โดยเฉพาะอย่างยิ่ง อุตสาหกรรมการป้องกันประเทศ– เพื่อรวบรวมข่าวกรองและการสนับสนุนทางการเงินสำหรับระบอบการปกครองของ Kim Jong-un มักใช้วิธีการเลียนแบบคล้ายกับที่พบใน Operation In(ter)ception เพื่อพยายามให้เหยื่อรับมัลแวร์

แคมเปญก่อนหน้าที่ระบุในเดือนมกราคมด้วย กำหนดเป้าหมายวิศวกรหางาน โดยหลอกล่อโอกาสในการจ้างงานปลอมในแคมเปญฟิชชิ่ง การโจมตีดังกล่าวใช้ Windows Update เป็นเทคนิคการใช้ชีวิตนอกโลก และ GitHub เป็นเซิร์ฟเวอร์ C2

ในขณะเดียวกัน แคมเปญที่คล้ายกันเปิดเผยเมื่อปีที่แล้ว เห็นลาซารัสปลอมตัวเป็นผู้รับเหมาด้านการป้องกันประเทศโบอิ้งและเจนเนอรัลมอเตอร์สและอ้างว่าแสวงหาผู้สมัครงานเพียงเพื่อเผยแพร่เอกสารที่เป็นอันตราย

เปลี่ยนมันขึ้น

อย่างไรก็ตาม เมื่อเร็ว ๆ นี้ Lazarus ได้กระจายกลยุทธ์ของตน โดย feds เปิดเผยว่า Lazarus ยังรับผิดชอบในการปล้น crypto จำนวนมากโดยมีเป้าหมายเพื่อเพิ่มเงินในระบอบของ Jong-un ด้วยเงินสด

ที่เกี่ยวข้องกับกิจกรรมนี้ รัฐบาลสหรัฐฯ การลงโทษที่เรียกเก็บ ต่อต้านบริการเครื่องผสม cryptocurrency Tornado Cash ในการช่วยลาซารัสฟอกเงินสดจากกิจกรรมอาชญากรไซเบอร์ ซึ่งพวกเขาเชื่อว่าส่วนหนึ่งเป็นเงินทุนสำหรับโครงการขีปนาวุธของเกาหลีเหนือ

Lazarus ได้จุ่มนิ้วเท้าลงใน ransomware ท่ามกลางกิจกรรมการกรรโชกทางอินเทอร์เน็ตที่บ้าคลั่ง ในเดือนพฤษภาคม นักวิจัยจากบริษัทรักษาความปลอดภัยทางไซเบอร์ Trellix ผูกกับ VHD ransomware ที่เพิ่งเกิดขึ้น ไปยัง APT ของเกาหลีเหนือ