- De Lazarus Group zijn Noord-Koreaanse hackers
- De hackers sturen nu ongevraagde en nep crypto-opdrachten
- Nieuwste variant van de campagne wordt onder de loep genomen door SentinelOne
De Lazarus Group is een groep Noord-Koreaanse hackers die momenteel nep-cryptotaken naar het macOS-besturingssysteem van Apple sturen zonder erom te vragen. De malware die door de hackergroep wordt gebruikt, is wat de aanval start.
Cybersecuritybedrijf SentinelOne onderzoekt deze meest recente variant van de campagne.
Het cyberbeveiligingsbedrijf heeft vastgesteld dat de hackergroep posities heeft geadverteerd voor het in Singapore gevestigde cryptocurrency-uitwisselingsplatform Crypto.com met behulp van lokdocumenten, en voert de aanvallen dienovereenkomstig uit.
Hoe heeft de groep hacks uitgevoerd?
Operatie In(ter)ception is de naam die gegeven is aan de meest recente variant van de hackcampagne. Volgens rapporten richt de phishing-campagne zich voornamelijk op Mac-gebruikers.
Er is ontdekt dat de malware die bij de hacks wordt gebruikt, dezelfde is als de malware die wordt gebruikt in valse vacatures op Coinbase.
Er is gesuggereerd dat dit een geplande hack was. Malware is door deze hackers vermomd als vacatures van populaire cryptocurrency-uitwisselingen.
Dit wordt gedaan met goed ontworpen en legitiem ogende PDF-documenten die vacatures adverteren voor in Singapore gevestigde functies zoals Art Director-Concept Art (NFT). Het rapport van SentinelOne zegt dat Lazarus LinkedIn-berichten gebruikte om contact op te nemen met andere slachtoffers als onderdeel van deze nieuwe crypto-kluslok.
LEES OOK: Meer dan 3000 BTC-overdrachten kwamen in de schijnwerpers
De druppelaar van de eerste fase is een Mach-O-binair getal - SentinelOne
Deze twee nep-vacatures zijn slechts de meest recente in een reeks aanvallen die Operation In(ter)ception werden genoemd en die op hun beurt deel uitmaken van een grotere campagne die deel uitmaakt van de grotere hackoperatie die bekend staat als Operation Dream Job. . Beide campagnes maken deel uit van de grotere operatie.
Het beveiligingsbedrijf dat dit onderzoekt, zei dat de manier waarop de malware zich verspreidt nog steeds een mysterie is. SentinelOne verklaarde dat de dropper van de eerste fase een Mach-O-binair getal is, wat hetzelfde is als het sjabloon-binaire bestand dat wordt gebruikt in de Coinbase-variant, rekening houdend met de specifieke kenmerken.
De eerste stap omvat het neerzetten van een persistentie-agent in een gloednieuwe map in de bibliotheek van de gebruiker.
De extractie en uitvoering van het binaire bestand van de derde fase, dat dient als downloader van de C2-server, is de primaire functie van de tweede fase.
Bron: https://www.thecoinrepublic.com/2022/09/29/macos-users-targeted-by-lazarus-hackers/