APT Lazarus, macOS Kötü Amaçlı Yazılımıyla Mühendisleri Hedefliyor

Kuzey Kore APT Lazarus macOS kötü amaçlı yazılımını yaymaya çalışan sahte bir iş ilanıyla mühendisleri hedef alan bir siber casusluk kampanyasıyla eski numaralarına kalmış durumda. Kampanyada kullanılan kötü amaçlı Mac yürütülebilir dosyası hem Apple hem de Intel çip tabanlı sistemleri hedef alıyor.

Araştırmacılar tarafından tanımlanan kampanya ESET Araştırma Laboratuvarları ve ortaya bir tweets dizisi Salı günü yayınlandı, kimliğine büründü kripto para tüccarı Coinbase Araştırmacılar, ürün güvenliği için bir mühendislik yöneticisi aradığını iddia eden bir iş tanımında açıkladı.

Operasyon olarak adlandırılan In(ter)ception, son kampanya, araştırmacıların Brezilya'dan VirusTotal'a yüklendiğini keşfettiği Coinbase için bir iş tanımı olarak gizlenmiş imzalı bir Mac yürütülebilir dosyasını düşürdü.Tweetlerden birine göre "Kötü amaçlı yazılım hem Intel hem de Apple Silicon için derlendi". “Üç dosya bırakıyor: Coinbase_online_careers_2022_07.pdf sahte bir PDF belgesi, bir paket http[://]FinderFontsUpdater[.]app ve bir indirici safarifontagent.”

Önceki Kötü Amaçlı Yazılımlarla Benzerlikler

Kötü amaçlı yazılım bir örneğe benzer Araştırmacılar, Mayıs ayında ESET tarafından keşfedilen ve iş tanımı olarak gizlenmiş imzalı bir yürütülebilir dosyanın da hem Apple hem de Intel için derlendiğini ve bir PDF tuzağı düştüğünü söyledi.

Bununla birlikte, en son kötü amaçlı yazılım, zaman damgasına göre 21 Temmuz'da imzalanmıştır; bu, bunun yeni bir şey olduğu veya önceki kötü amaçlı yazılımın bir çeşidi olduğu anlamına gelir. Araştırmacılar, Şubat 2022'de Shankey Nohria adlı bir geliştiriciye verilen ve 12 Ağustos'ta Apple tarafından iptal edilen bir sertifika kullandığını söyledi. Uygulamanın kendisi noter tasdikli değildi.

Operation In(ter)ception ayrıca, 4 Ağustos'ta Malwarebytes tarafından tespit edilen ve aynı tuzağı bırakan kötü amaçlı yazılımın Windows sürümüne eşlik ediyor. tehdit istihbarat araştırmacısı Jazi, ESET'e göre.

Kampanyada kullanılan kötü amaçlı yazılım ayrıca Mayıs ayında keşfedilen kötü amaçlı yazılımdan farklı bir komuta ve kontrol (C2) altyapısına da bağlanıyor, https:[//]concrecapital[.]com/%user%[.]jpg, bu kötü amaçlı yazılım şu anda yanıt vermiyor: araştırmacılar ona bağlanmaya çalıştı.

Gevşek Lazarus

Kuzey Kore'nin Lazarus'u, en üretken APT'lerden biri olarak biliniyor ve 2019'da ABD hükümeti tarafından yaptırıma tabi tutulduğu için zaten uluslararası yetkililerin ilgi odağında.

Lazarus, çeşitli sektörlerdeki akademisyenleri, gazetecileri ve profesyonelleri hedef almasıyla tanınır. savunma Sanayii-Kim Jong-un rejimi için istihbarat ve mali destek toplamak. Kurbanların kötü amaçlı yazılım tuzağına düşmesini sağlamak için genellikle In(ter)ception Operasyonunda gözlemlenene benzer kimliğe bürünme hileleri kullandı.

Ayrıca Ocak ayında tanımlanan önceki bir kampanya hedeflenen iş arayan mühendisler bir hedefli kimlik avı kampanyasında onlara sahte istihdam fırsatları salarak. Saldırılar, Windows Update'i arazide yaşama tekniği ve GitHub'ı C2 sunucusu olarak kullandı.

Bu arada, bir benzer kampanya geçen yıl ortaya çıktı Lazarus'un savunma müteahhitleri Boeing ve General Motors'u taklit ettiğini ve yalnızca kötü niyetli belgeleri yaymak için iş adayları aradığını iddia ettiğini gördü.

Değiştirmek

Bununla birlikte, son zamanlarda Lazarus, federallerin Lazarus'un Jong-un rejimini nakitle doldurmayı amaçlayan bir dizi kripto soygunundan sorumlu olduğunu ortaya koymasıyla taktiklerini çeşitlendirdi.

Bu faaliyetle ilgili olarak, ABD hükümeti uygulanan yaptırımlar Lazarus'un, kısmen Kuzey Kore'nin füze programını finanse etmek olduğuna inandıkları siber suç faaliyetlerinden para aklamasına yardımcı olduğu için kripto para birimi karıştırıcı hizmeti Tornado Cash'e karşı.

Lazarus, siber şantaj faaliyetinin çılgınlığı arasında ayak parmağını fidye yazılımına bile soktu. Mayıs ayında siber güvenlik firması Trellix'teki araştırmacılar yakın zamanda ortaya çıkan VHD fidye yazılımını bağladı Kuzey Kore APT'ye.