- Lazarus Group är nordkoreanska hackare
- Hackarna skickar nu oönskade och falska kryptojobb
- Senaste varianten av kampanjen granskas av SentinelOne
Lazarus Group är en grupp nordkoreanska hackare som för närvarande skickar falska kryptojobb till Apples macOS-operativsystem utan att fråga efter dem. Skadlig programvara som används av hackergruppen är det som startar attacken.
Cybersäkerhetsföretaget SentinelOne undersöker denna senaste variant av kampanjen.
Cybersäkerhetsföretaget har fastställt att hackergruppen annonserade positioner för den Singapore-baserade kryptovalutaväxlingsplattformen Crypto.com med hjälp av lockbetedokument, och den utför attackerna i enlighet med detta.
Hur genomförde gruppen hacks?
Operation In(ter)ception är namnet på den senaste varianten av hackningskampanjen. Enligt rapporter riktar sig nätfiskekampanjen främst till Mac-användare.
Det har upptäckts att skadlig programvara som används i hackningarna är densamma som skadlig programvara som används i falska jobbannonser på Coinbase.
Det har föreslagits att detta var ett planerat hack. Skadlig programvara har maskerats av dessa hackare som jobbannonser från populära kryptovalutabörser.
Detta görs med väldesignade och legitima PDF-dokument som annonserar lediga tjänster för Singapore-baserade positioner som Art Director-Concept Art (NFT). SentinelOnes rapport säger att Lazarus använde LinkedIn-meddelanden för att kontakta andra offer som en del av detta nya kryptojobb lockelse.
LÄS ÄVEN: Mer än 3000 BTC-överföringar tog rampljuset
Första steget dropper är en Mach-O binär – SentinelOne
Dessa två falska jobbannonser är bara de senaste i en rad attacker som har kallats Operation In(ter)ception och är i sin tur en del av en större kampanj som är en del av den större hackningsoperationen som kallas Operation Dream Job . Båda dessa kampanjer är en del av den större verksamheten.
Säkerhetsföretaget som undersöker detta sa att hur skadlig programvara tar sig runt är fortfarande ett mysterium. SentinelOne uppgav att det första steget dropper är en Mach-O binär, vilket är samma som mallen binär som används i Coinbase-varianten, med hänsyn till detaljerna.
Det första steget innebär att släppa en persistensagent i en helt ny mapp i användarens bibliotek.
Extrahering och exekvering av det tredje stegets binära filer, som fungerar som en nedladdning från C2-servern, är den primära funktionen för det andra steget.
Källa: https://www.thecoinrepublic.com/2022/09/29/macos-users-targeted-by-lazarus-hackers/