گروه لازاروس هکرهای کره شمالی هستند که اکنون در حال ارسال هستند ناخواسته و مشاغل کریپتو جعلی که سیستم عامل macOS اپل را هدف قرار داده اند. این گروه هکر بدافزاری را مستقر کرده است که حمله را انجام می دهد.
این جدیدترین نوع کمپین توسط شرکت امنیت سایبری SentinelOne مورد بررسی قرار گرفته است.
این شرکت امنیت سایبری متوجه شد که این گروه هکر از اسناد فریبنده برای موقعیت های تبلیغاتی برای پلتفرم مبادلات ارزهای دیجیتال مستقر در سنگاپور به نام Crypto.com استفاده کرده و بر این اساس هک ها را انجام می دهد.
جدیدترین نوع کمپین هک "عملیات در (تر)سپس" نامیده شده است. طبق گزارش ها، کمپین فیشینگ تنها کاربران مک را هدف قرار می دهد.
بدافزار مورد استفاده برای هک ها مشابه بدافزارهایی است که در آگهی های شغلی جعلی Coinbase استفاده می شود.
ماه گذشته، محققان مشاهده کردند و متوجه شدند که Lazarus از فرصتهای شغلی جعلی Coinbase برای فریب دادن کاربران macOS برای دانلود بدافزار استفاده میکند.
گروه چگونه هکها را در پلتفرم Crypto.com انجام داد؟
این یک هک سازمان یافته در نظر گرفته شده است. این هکرها بدافزار را به عنوان پست های شغلی از صرافی های رمزنگاری محبوب پنهان کرده اند.
این کار با استفاده از اسناد PDF با طراحی خوب و به ظاهر قانونی انجام می شود که موقعیت های خالی تبلیغاتی را برای موقعیت های مختلف نشان می دهد، مانند Art Director-Concept Art (NFT) در سنگاپور.
بر اساس گزارشی از SentinelOne، این فریب شغل جدید رمزنگاری شامل هدف قرار دادن سایر قربانیان از طریق تماس با آنها در پیامرسانی لینکدین توسط لازاروس بود.
SentinelOne با ارائه جزئیات بیشتر در مورد کمپین هکری، اظهار داشت:
اگرچه در این مرحله مشخص نیست که این بدافزار چگونه توزیع میشود، گزارشهای قبلی حاکی از آن بود که عوامل تهدید از طریق پیامرسانی هدفمند در لینکدین، قربانیان را جذب میکنند.
این دو آگهی شغلی جعلی تازهترین مورد از انبوه حملاتی هستند که Operation In(ter)ception نامیده میشوند و به نوبه خود بخشی از یک کمپین گستردهتر است که تحت عملیات هک گستردهتر به نام Operation Dream Job قرار میگیرد.
خواندن مرتبط: STEPN با بلوک اهدایی برای فعال کردن کمک های مالی رمزنگاری برای سازمان های غیرانتفاعی شریک می شود
شفافیت کمتر در مورد نحوه توزیع بدافزار
شرکت امنیتی که در حال بررسی این موضوع است اشاره کرد که هنوز نحوه انتشار بدافزار مشخص نیست.
با توجه به نکات فنی، SentinelOne گفت که اولین مرحله قطره چکان یک باینری Mach-O است که همان باینری قالبی است که در نوع Coinbase استفاده شده است.
مرحله اول شامل ایجاد یک پوشه جدید در کتابخانه کاربر است که یک عامل ماندگاری را حذف می کند.
هدف اولیه از مرحله دوم استخراج و اجرای باینری مرحله سوم است که به عنوان دانلود کننده از سرور C2 عمل می کند.
توصیه نامه خوانده شد،
عاملان تهدید هیچ تلاشی برای رمزگذاری یا مبهم کردن هیچ یک از باینری ها انجام نداده اند، که احتمالاً نشان دهنده کمپین های کوتاه مدت و/یا ترس اندک از شناسایی توسط اهداف آنها است.
SentinelOne همچنین اشاره کرد که عملیات In(ter)ception همچنین به نظر میرسد که اهداف را از کاربران پلتفرمهای مبادلات رمزنگاری به کارمندان آنها گسترش میدهد، زیرا به نظر میرسد «ممکن است تلاشی ترکیبی برای انجام جاسوسی و سرقت ارزهای دیجیتال باشد».
منبع: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/