APT Lazarus 针对 macOS 恶意软件的工程师

朝鲜APT 拉撒路 网络间谍活动针对工程师发布虚假招聘信息，试图传播 macOS 恶意软件。 活动中使用的恶意 Mac 可执行文件同时针对 Apple 和 Intel 基于芯片的系统。

该活动由来自 ESET 研究实验室 并在一个 系列推文 周二发布，冒充 加密货币交易员 Coinbase 在一份声称为产品安全寻找工程经理的职位描述中，研究人员透露。

他们写道，最近的活动被称为 Operation In(ter)ception，它丢弃了一个伪装成 Coinbase 职位描述的签名 Mac 可执行文件，研究人员发现该文件从巴西上传到了 VirusTotal。其中一条推文称：“恶意软件是为英特尔和 Apple Silicon 编译的。” “它会丢弃三个文件：诱饵 PDF 文档 Coinbase_online_careers_2022_07.pdf、捆绑 http[://]FinderFontsUpdater[.]app 和下载器 safarifontagent。”

与以前的恶意软件的相似之处

该恶意软件是 类似于样本 研究人员说，ESET 在 XNUMX 月发现了一个伪装成工作描述的签名可执行文件，它是为苹果和英特尔编译的，并丢弃了一个 PDF 诱饵。

然而，根据其时间戳，最新的恶意软件是在 21 月 2022 日签署的，这意味着它要么是新的，要么是之前恶意软件的变种。 研究人员表示，它使用了 12 年 XNUMX 月颁发给名为 Shankey Nohria 的开发人员的证书，该证书于 XNUMX 月 XNUMX 日被苹果公司撤销。 该应用程序本身未经过公证。

Operation In(ter)ception 也有一个伴随的 Windows 版本的恶意软件丢弃了相同的诱饵，并于 4 月 XNUMX 日被 Malwarebytes 发现 威胁情报研究员 Jazi，根据 ESET。

该活动中使用的恶意软件还连接到与 2 月份发现的恶意软件 https:[//]concrecapital[.]com/%user%[.]jpg 不同的命令和控制 (CXNUMX) 基础设施，后者在研究人员试图连接到它。

逍遥法外的拉撒路

众所周知，朝鲜的 Lazarus 是最多产的 APT 之一，早在 2019 年就受到美国政府的制裁，已经成为国际当局的目标。

Lazarus 以针对各行各业的学者、记者和专业人士而闻名，尤其是 国防工业——为金正恩政权收集情报和资金支持。 它经常使用类似于Operation In(inter)ception 中观察到的模仿策略来试图让受害者接受恶意软件的诱饵。

XNUMX 月份确定的先前活动也 有针对性的求职工程师 在鱼叉式网络钓鱼活动中向他们提供虚假的就业机会。 这些攻击使用 Windows 更新作为一种离地技术，使用 GitHub 作为 C2 服务器。

同时，一 去年发现的类似活动 看到 Lazarus 冒充国防承包商波音和通用汽车，并声称寻找求职者只是为了传播恶意文件。

改变它

然而，最近 Lazarus 采取了多样化的策略，联邦调查局透露 Lazarus 还对一些旨在用现金充实 Jong-un 政权的加密货币抢劫案负责。

与此活动相关的是，美国政府 实施制裁 反对加密货币混合服务 Tornado Cash 帮助 Lazarus 从其网络犯罪活动中洗钱，他们认为这部分是为了资助朝鲜的导弹计划。

Lazarus 甚至在其疯狂的网络勒索活动中涉足勒索软件。 XNUMX 月，网络安全公司 Trellix 的研究人员 捆绑了最近出现的 VHD 勒索软件 到朝鲜 APT。