APT Lazarus macOS مالویئر والے انجینئرز کو نشانہ بناتا ہے۔

شمالی کوریائی اے پی ٹی لاجر سائبر جاسوسی مہم کے ساتھ اپنی پرانی چالوں پر منحصر ہے جس میں انجینئرز کو جعلی جاب پوسٹنگ کے ذریعے نشانہ بنایا جاتا ہے جو macOS میلویئر کو پھیلانے کی کوشش کرتی ہے۔ مہم میں استعمال ہونے والا بدنیتی پر مبنی میک ایپل اور انٹیل چپ پر مبنی نظام دونوں کو نشانہ بناتا ہے۔

مہم، جس کی نشاندہی محققین نے کی۔ ESET ریسرچ لیبز اور a میں انکشاف کیا ٹویٹس کا سلسلہ منگل کو پوسٹ کیا گیا، نقالی cryptocurrency تاجر Coinbase کام کی تفصیل میں پروڈکٹ سیکیورٹی کے لیے انجینئرنگ مینیجر کی تلاش کا دعویٰ کرتے ہوئے، محققین نے انکشاف کیا۔

انہوں نے لکھا کہ ڈب آپریشن ان (ٹر) سیپشن میں، حالیہ مہم میں ایک دستخط شدہ میک ایگزیکیوٹیبل کو کوائن بیس کے لیے نوکری کی تفصیل کے طور پر بھیس دیا گیا ہے، جسے محققین نے برازیل سے VirusTotal پر اپ لوڈ کیا تھا۔ٹویٹس میں سے ایک کے مطابق، "میل ویئر انٹیل اور ایپل سلیکون دونوں کے لیے مرتب کیا گیا ہے۔ "یہ تین فائلیں چھوڑتا ہے: ایک decoy PDF دستاویز Coinbase_online_careers_2022_07.pdf، ایک بنڈل http[://]FinderFontsUpdater[.]app اور ایک ڈاؤنلوڈر safarifontagent۔"

پچھلے میلویئر سے مماثلتیں۔

میلویئر ہے۔ نمونے کی طرح محققین نے کہا کہ مئی میں ESET کے ذریعہ دریافت کیا گیا، جس میں ملازمت کی تفصیل کے طور پر ایک دستخط شدہ ایگزیکیوٹیبل بھی شامل تھا، ایپل اور انٹیل دونوں کے لیے مرتب کیا گیا تھا، اور ایک پی ڈی ایف ڈیکو کو چھوڑ دیا گیا تھا، محققین نے کہا۔

تاہم، سب سے حالیہ میلویئر پر اس کے ٹائم اسٹیمپ کے مطابق، 21 جولائی کو دستخط کیے گئے ہیں، جس کا مطلب ہے کہ یہ یا تو کوئی نئی چیز ہے یا پچھلے میلویئر کی ایک قسم۔ محققین نے بتایا کہ یہ فروری 2022 میں شینکی نوہریا نامی ایک ڈویلپر کو جاری کردہ سرٹیفکیٹ کا استعمال کرتا ہے اور جسے ایپل نے 12 اگست کو منسوخ کر دیا تھا۔ ایپ کو خود نوٹریائز نہیں کیا گیا تھا۔

آپریشن ان(ٹر)سیپشن میں میلویئر کا ایک ساتھی ونڈوز ورژن بھی ہے جو اسی ڈیکو کو چھوڑ رہا ہے اور 4 اگست کو مالویئر بائٹس کے ذریعے دیکھا گیا ہے۔ خطرہ انٹیلی جنس محقق جازی، ESET کے مطابق۔

مہم میں استعمال ہونے والا میلویئر مئی میں دریافت ہونے والے میلویئر سے مختلف کمانڈ اینڈ کنٹرول (C2) انفراسٹرکچر سے بھی جڑتا ہے، https:[//]concrecapital[.]com/%user%[.]jpg، جس نے جواب نہیں دیا جب محققین نے اس سے رابطہ قائم کرنے کی کوشش کی۔

لازارس آن دی لوز

شمالی کوریا کا لازارس سب سے زیادہ قابل قدر APTs میں سے ایک کے طور پر جانا جاتا ہے اور وہ پہلے ہی بین الاقوامی حکام کی گرفت میں ہے، جسے امریکی حکومت نے 2019 میں دوبارہ منظور کر لیا تھا۔

Lazarus مختلف صنعتوں میں ماہرین تعلیم، صحافیوں اور پیشہ ور افراد کو نشانہ بنانے کے لیے جانا جاتا ہے۔ دفاعی صنعت-کِم جونگ اُن کی حکومت کے لیے انٹیلی جنس اور مالی مدد اکٹھا کرنا۔ اس نے اکثر متاثرین کو میلویئر بیت لینے کی کوشش کرنے کے لیے آپریشن ان(ٹر) سیپشن میں مشاہدہ کی طرح کی نقالی چالوں کا استعمال کیا ہے۔

جنوری میں بھی پچھلی مہم کی نشاندہی کی گئی تھی۔ ملازمت کے متلاشی انجینئروں کو نشانہ بنایا گیا۔ نیزہ بازی کی مہم میں ان پر روزگار کے جعلی مواقع لٹکا کر۔ حملوں میں ونڈوز اپڈیٹ کو ایک زندہ دور تکنیک کے طور پر اور GitHub کو C2 سرور کے طور پر استعمال کیا گیا۔

دریں اثنا، ایک اسی طرح کی مہم پچھلے سال سامنے آئی تھی۔ لازارس کو دفاعی ٹھیکیداروں بوئنگ اور جنرل موٹرز کی نقالی کرتے ہوئے اور صرف بدنیتی پر مبنی دستاویزات پھیلانے کے لیے ملازمت کے امیدواروں کی تلاش کا دعویٰ کرتے ہوئے دیکھا۔

اسے تبدیل کرنا

تاہم، حال ہی میں Lazarus نے اپنی حکمت عملیوں کو متنوع بنایا ہے، فیڈز نے انکشاف کیا ہے کہ Lazarus بھی متعدد کرپٹو ڈکیتیوں کے لیے ذمہ دار رہا ہے جس کا مقصد جونگ اُن کی حکومت کو نقد رقم سے بھرنا تھا۔

اس سرگرمی سے متعلق، امریکی حکومت پابندیاں لگائی کرپٹو کرنسی مکسر سروس ٹورنیڈو کیش کے خلاف لازارس کو اس کی سائبر مجرمانہ سرگرمیوں سے نقد رقم نکالنے میں مدد کرنے کے لیے، جس کے بارے میں ان کا خیال ہے کہ یہ حصہ شمالی کوریا کے میزائل پروگرام کو فنڈ دینے کے لیے ہے۔

یہاں تک کہ لازارس نے سائبر بھتہ خوری کی سرگرمیوں کے جنون کے درمیان اپنا پیر رینسم ویئر میں ڈبو دیا ہے۔ مئی میں، سائبرسیکیوریٹی فرم Trellix کے محققین حال ہی میں ابھرنے والے VHD ransomware کو باندھ دیا۔ شمالی کوریا کے اے پی ٹی کو۔