Kumpulan Lazarus adalah penggodam Korea Utara yang kini menghantar tidak diminta dan pekerjaan kripto palsu yang disasarkan kepada sistem pengendalian macOS Apple. Kumpulan penggodam telah menggunakan perisian hasad yang menjalankan serangan itu.
Varian terbaru kempen ini sedang diteliti oleh syarikat keselamatan siber SentinelOne.
Syarikat keselamatan siber mendapati kumpulan penggodam itu menggunakan dokumen penipuan untuk kedudukan pengiklanan untuk platform pertukaran mata wang kripto yang berpangkalan di Singapura yang dipanggil Crypto.com dan sedang menjalankan penggodaman itu dengan sewajarnya.
Varian terkini kempen penggodaman telah dipanggil "Operasi Dalam(ter)ception". Khabarnya, kempen pancingan data hanya menyasarkan pengguna Mac setakat ini.
Malware yang digunakan untuk penggodaman didapati sama dengan yang digunakan dalam penyiaran kerja Coinbase palsu.
Bulan lalu, penyelidik memerhati dan mendapati bahawa Lazarus menggunakan pembukaan kerja Coinbase palsu untuk menipu hanya pengguna macOS supaya memuat turun perisian hasad.
Bagaimana Kumpulan Menjalankan Peretasan Pada Platform Crypto.com
Ini telah dianggap sebagai penggodaman yang dirancang. Penggodam ini telah menyamarkan perisian hasad sebagai penyiaran kerja daripada bursa crypto yang popular.
Ini dijalankan dengan menggunakan dokumen PDF yang direka bentuk dengan baik dan kelihatan sah yang memaparkan kekosongan pengiklanan untuk pelbagai jawatan, seperti Art Director-Concept Art (NFT) di Singapura.
Menurut laporan dari SentinelOne, gewang kerja kripto baharu ini termasuk menyasarkan mangsa lain dengan menghubungi mereka melalui pemesejan LinkedIn oleh Lazarus.
Menyediakan butiran tambahan mengenai kempen penggodam, SentinelOne menyatakan,
Walaupun tidak jelas pada peringkat ini bagaimana perisian hasad diedarkan, laporan awal mencadangkan bahawa pelaku ancaman menarik mangsa melalui pemesejan yang disasarkan di LinkedIn.
Kedua-dua iklan pekerjaan palsu ini hanyalah yang terbaru dalam pelbagai serangan yang telah dipanggil Operation In(ter)ception, dan seterusnya merupakan sebahagian daripada kempen yang lebih luas yang termasuk dalam operasi penggodaman yang lebih luas yang dipanggil Operation Dream Job.
Bacaan Berkaitan: STEPN Bekerjasama Dengan Blok Pemberian Untuk Mendayakan Derma Kripto Untuk Organisasi Bukan Untung
Kurang Kejelasan Mengenai Cara Perisian Hasad Diedarkan
Syarikat keselamatan yang meneliti perkara ini menyebut bahawa masih tidak jelas bagaimana perisian hasad itu diedarkan.
Mempertimbangkan teknikal, SentinelOne berkata bahawa penitis peringkat pertama ialah binari Mach-O, yang sama dengan binari templat yang telah digunakan dalam varian Coinbase.
Peringkat pertama terdiri daripada mencipta folder baharu dalam pustaka pengguna yang menjatuhkan ejen kegigihan.
Tujuan utama peringkat kedua adalah untuk mengekstrak dan melaksanakan binari peringkat ketiga, yang bertindak sebagai pemuat turun dari pelayan C2.
Nasihat itu berbunyi,
Pelaku ancaman tidak berusaha untuk menyulitkan atau mengaburkan mana-mana binari, mungkin menunjukkan kempen jangka pendek dan/atau sedikit ketakutan terhadap pengesanan oleh sasaran mereka.
SentinelOne juga menyebut bahawa Operation In(ter)ception juga nampaknya memperluaskan sasaran daripada pengguna platform pertukaran crypto kepada pekerja mereka, kerana ia kelihatan seperti "apa yang mungkin merupakan usaha gabungan untuk menjalankan kedua-dua pengintipan dan kecurian mata wang kripto."
Sumber: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/