- קבוצת לזרוס הם האקרים צפון קוריאנים
- ההאקרים שולחים כעת עבודות קריפטו לא רצויות ומזויפות
- הגרסה האחרונה של הקמפיין נבדקת על ידי SentinelOne
קבוצת Lazarus היא קבוצה של האקרים צפון קוריאנים ששולחים כעת עבודות קריפטו מזויפות למערכת ההפעלה macOS של אפל מבלי לבקש אותן. התוכנה הזדונית שבה משתמש קבוצת ההאקרים היא זו שמפעילה את המתקפה.
חברת אבטחת הסייבר SentinelOne בוחנת את הגרסה העדכנית ביותר של הקמפיין.
חברת אבטחת הסייבר קבעה כי קבוצת ההאקרים פרסמה עמדות עבור פלטפורמת חילופי המטבעות הקריפטו שבסיסה בסינגפור Crypto.com תוך שימוש במסמכי פיתוי, והיא מבצעת את ההתקפות בהתאם.
כיצד ביצעה הקבוצה פריצות?
Operation In(ter)ception הוא השם שניתן לגרסה העדכנית ביותר של מסע הפריצה. על פי הדיווחים, קמפיין הדיוג מכוון בעיקר למשתמשי מק.
התגלה שהתוכנה הזדונית שבה נעשה שימוש בפריצות זהה לתוכנה הזדונית המשמשת בפרסומי דרושים מזויפים ב-Coinbase.
הוצע כי זו הייתה פריצה מתוכננת. תוכנות זדוניות הוסוו על ידי האקרים אלה כפרסומי דרושים מבורסות קריפטו פופולריות.
זה נעשה עם מסמכי PDF מעוצבים ולגיטימיים למראה המפרסמים מקומות פנויים לתפקידים מבוססי סינגפור כמו Art Director-Concept Art (NFT). הדו"ח של SentinelOne אומר שלזרוס השתמש בהודעות לינקדאין כדי ליצור קשר עם קורבנות אחרים כחלק מפיתוי העבודה הקריפטו החדש הזה.
קרא גם: יותר מ-3000 העברות BTC עלו בזרקור
טפטפת שלב ראשון היא Mach-O בינארי - SentinelOne
שתי מודעות דרושים מזויפות אלו הן רק העדכניות ביותר בשורה של התקפות שזכו לכינוי Operation In(ter)ception והן, בתורן, חלק ממסע פרסום גדול יותר שהוא חלק ממבצע הפריצה הגדול יותר המכונה Operation Dream Job . שני הקמפיינים הללו הם חלק מהמבצע הגדול יותר.
חברת האבטחה שבדקה את זה אמרה שהדרך שבה התוכנה הזדונית מסתובבת היא עדיין בגדר תעלומה. SentinelOne קבע כי הטפטפת בשלב הראשון היא בינארי Mach-O, שזהה לבינארי התבנית המשמש בגרסה של Coinbase, תוך התחשבות בפרטים הספציפיים.
הצעד הראשון כרוך בהורדת סוכן התמדה לתוך תיקיה חדשה לגמרי בספריית המשתמש.
החילוץ והביצוע של הבינארי השלב השלישי, המשמש כמוריד משרת C2, הוא הפונקציה העיקרית של השלב השני.
מקור: https://www.thecoinrepublic.com/2022/09/29/macos-users-targeted-by-lazarus-hackers/