拉撒路集团是朝鲜黑客,他们现在正在发送 不请自来 以及针对 Apple macOS 操作系统的虚假加密作业。 黑客组织部署了恶意软件来进行攻击。
网络安全公司 SentinelOne 正在审查该活动的最新变体。
这家网络安全公司发现黑客组织使用诱饵文件为新加坡的加密货币交易平台 Crypto.com 宣传职位,并相应地进行黑客攻击。
黑客活动的最新变体被称为“Operation In(ter)ception”。 据报道,到目前为止,网络钓鱼活动仅针对 Mac 用户。
已发现用于黑客攻击的恶意软件与伪造的 Coinbase 招聘信息中使用的恶意软件相同。
上个月,研究人员观察并发现 Lazarus 使用虚假的 Coinbase 职位空缺来诱骗 macOS 用户下载恶意软件。
该集团如何在 Crypto.com 平台上进行黑客攻击
这被认为是精心策划的黑客攻击。 这些黑客将恶意软件伪装成流行加密货币交易所的招聘信息。
这是通过使用精心设计且看似合法的 PDF 文档来进行的,该文档显示各种职位的广告空缺,例如新加坡的艺术总监 - 概念艺术 (NFT)。
根据 SentinelOne 的一份报告,这项新的加密工作诱饵包括通过 Lazarus 的 LinkedIn 消息与他们联系来瞄准其他受害者。
SentinelOne 表示,提供有关黑客活动的更多详细信息,
尽管现阶段尚不清楚恶意软件是如何分发的,但早期的报告表明,威胁行为者正在通过 LinkedIn 上的针对性消息来吸引受害者。
这两个虚假的招聘广告只是一系列被称为“拦截行动”的攻击中的最新一次,而这又是更广泛的活动的一部分,该活动属于更广泛的黑客行动,称为“梦想工作行动”。
相关阅读: STEPN 与 Giving Block 合作,为非营利组织启用加密货币捐赠
恶意软件是如何分布的不太清楚
对此进行调查的安全公司提到,目前尚不清楚恶意软件是如何传播的。
考虑到技术细节,SentinelOne 表示第一阶段 dropper 是一个 Mach-O 二进制文件,与 Coinbase 变体中使用的模板二进制文件相同。
第一阶段包括在用户库中创建一个新文件夹,以删除持久性代理。
第二阶段的主要目的是提取和执行第三阶段的二进制文件,它充当 C2 服务器的下载器。
咨询中写道,
威胁行为者没有努力加密或混淆任何二进制文件,这可能表明短期活动和/或很少害怕被他们的目标检测到。
SentinelOne 还提到,Operation In(ter)ception 似乎也将目标从加密交换平台的用户扩展到了他们的员工,因为它看起来“可能是进行间谍活动和加密货币盗窃的联合努力”。
来源:https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/