De Lazarus Group zijn Noord-Koreaanse hackers die nu Ongevraagd en nep-cryptotaken gericht op het macOS-besturingssysteem van Apple. De hackergroep heeft malware ingezet die de aanval uitvoert.
Deze nieuwste variant van de campagne wordt onder de loep genomen door cybersecuritybedrijf SentinelOne.
Het cyberbeveiligingsbedrijf ontdekte dat de hackergroep lokdocumenten gebruikte voor advertentieposities voor het in Singapore gevestigde cryptocurrency-uitwisselingsplatform Crypto.com en voert de hacks dienovereenkomstig uit.
De nieuwste variant van de hackcampagne heet “Operation In(ter)ception”. Naar verluidt richt de phishing-campagne zich verreweg alleen op Mac-gebruikers.
De malware die voor de hacks werd gebruikt, bleek identiek te zijn aan de malware die werd gebruikt in valse Coinbase-vacatures.
Vorige maand ontdekten en ontdekten onderzoekers dat Lazarus valse Coinbase-vacatures gebruikte om alleen macOS-gebruikers te misleiden om malware te downloaden.
Hoe heeft de groep hacks uitgevoerd op het Crypto.com-platform?
Dit werd beschouwd als een georkestreerde hack. Deze hackers hebben malware gecamoufleerd als vacatures van populaire crypto-uitwisselingen.
Dit wordt gedaan door gebruik te maken van goed ontworpen en legitiem ogende PDF-documenten met vacatures voor verschillende functies, zoals Art Director-Concept Art (NFT) in Singapore.
Volgens een rapport van SentinelOne omvatte dit nieuwe crypto-lokmiddel het richten op andere slachtoffers door contact met hen op te nemen via LinkedIn-berichten van Lazarus.
Met aanvullende details over de hackercampagne, verklaarde SentinelOne:
Hoewel het in dit stadium niet duidelijk is hoe de malware wordt verspreid, suggereerden eerdere rapporten dat bedreigingsactoren slachtoffers aan het lokken waren via gerichte berichten op LinkedIn.
Deze twee nep-vacatures zijn slechts de laatste in een reeks aanvallen die Operation In(ter)ception worden genoemd en die op hun beurt deel uitmaken van een bredere campagne die valt onder de bredere hackoperatie genaamd Operation Dream Job.
Gerelateerd lezen: STEPN werkt samen met het Giving Block om cryptodonaties voor non-profitorganisaties mogelijk te maken
Minder duidelijkheid over hoe de malware wordt verspreid
Het beveiligingsbedrijf dat dit onderzoekt, zei dat het nog steeds onduidelijk is hoe de malware wordt verspreid.
Gezien de technische details zei SentinelOne dat de dropper van de eerste trap een Mach-O-binair getal is, wat hetzelfde is als een sjabloon-binair getal dat is gebruikt in de Coinbase-variant.
De eerste fase bestaat uit het maken van een nieuwe map in de bibliotheek van de gebruiker die een persistentie-agent dropt.
Het primaire doel van de tweede fase is het extraheren en uitvoeren van het binaire bestand van de derde fase, dat fungeert als een downloader van de C2-server.
Het advies gelezen,
De bedreigingsactoren hebben geen enkele poging gedaan om de binaire bestanden te coderen of te verdoezelen, wat mogelijk wijst op kortetermijncampagnes en/of weinig angst voor detectie door hun doelen.
SentinelOne vermeldde ook dat Operation In(ter)ception ook de doelen lijkt uit te breiden van gebruikers van crypto-uitwisselingsplatforms naar hun werknemers, aangezien het lijkt op "wat een gecombineerde inspanning kan zijn om zowel spionage als diefstal van cryptocurrency uit te voeren."
Bron: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/