Lazarus Group คือแฮกเกอร์ชาวเกาหลีเหนือที่กำลังส่ง ที่ไม่พึงประสงค์ และงาน crypto ปลอมที่กำหนดเป้าหมายไปยังระบบปฏิบัติการ macOS ของ Apple กลุ่มแฮ็กเกอร์ได้ติดตั้งมัลแวร์ซึ่งดำเนินการโจมตี
แคมเปญล่าสุดนี้กำลังถูกตรวจสอบโดยบริษัทรักษาความปลอดภัยทางไซเบอร์ SentinelOne
บริษัทรักษาความปลอดภัยทางไซเบอร์พบว่ากลุ่มแฮ็กเกอร์ใช้เอกสารหลอกลวงสำหรับตำแหน่งโฆษณาสำหรับแพลตฟอร์มการแลกเปลี่ยนสกุลเงินดิจิทัลในสิงคโปร์ที่เรียกว่า Crypto.com และกำลังดำเนินการแฮ็กตามนั้น
แคมเปญแฮ็ครุ่นล่าสุดเรียกว่า "Operation In(ter)ception" มีรายงานว่าแคมเปญฟิชชิ่งมุ่งเป้าไปที่ผู้ใช้ Mac เท่านั้น
มัลแวร์ที่ใช้สำหรับการแฮ็กนั้นเหมือนกับมัลแวร์ที่ใช้ในการโพสต์งาน Coinbase ปลอม
เมื่อเดือนที่แล้ว นักวิจัยสังเกตและพบว่า Lazarus ใช้ตำแหน่งงาน Coinbase ปลอมเพื่อหลอกเฉพาะผู้ใช้ macOS ให้ดาวน์โหลดมัลแวร์
กลุ่มทำการแฮ็กบนแพลตฟอร์ม Crypto.com ได้อย่างไร
สิ่งนี้ได้รับการพิจารณาว่าเป็นการแฮ็คที่ประสานกัน แฮกเกอร์เหล่านี้ได้ปลอมแปลงมัลแวร์เป็นการโพสต์งานจากการแลกเปลี่ยน crypto ยอดนิยม
ดำเนินการโดยใช้เอกสาร PDF ที่ออกแบบมาอย่างดีและดูเหมือนถูกต้องตามกฎหมาย ซึ่งแสดงตำแหน่งงานว่างโฆษณาสำหรับตำแหน่งต่างๆ เช่น Art Director-Concept Art (NFT) ในสิงคโปร์
ตามรายงานจาก SentinelOne งานล่อ crypto ใหม่นี้รวมถึงการกำหนดเป้าหมายเหยื่อรายอื่นด้วยการติดต่อพวกเขาในการส่งข้อความ LinkedIn โดย Lazarus
โดยให้รายละเอียดเพิ่มเติมเกี่ยวกับแคมเปญแฮ็กเกอร์ SentinelOne กล่าวว่า
แม้ว่าจะยังไม่ชัดเจนในขั้นตอนนี้ว่ามีการแจกจ่ายมัลแวร์อย่างไร รายงานก่อนหน้านี้ชี้ให้เห็นว่าผู้คุกคามกำลังดึงดูดผู้ที่ตกเป็นเหยื่อผ่านการส่งข้อความเป้าหมายบน LinkedIn
โฆษณางานปลอมทั้งสองนี้เป็นเพียงโฆษณาล่าสุดในโฮสต์ของการโจมตีที่เรียกว่า Operation In(ter)ception และในทางกลับกันก็เป็นส่วนหนึ่งของแคมเปญที่กว้างขึ้นซึ่งตกอยู่ภายใต้การดำเนินการแฮ็คในวงกว้างที่เรียกว่า Operation Dream Job
การอ่านที่เกี่ยวข้อง: STEPN ร่วมมือกับ The Giving Block เพื่อเปิดใช้งานการบริจาค Crypto สำหรับองค์กรไม่แสวงหากำไร
ความชัดเจนน้อยลงเกี่ยวกับวิธีการกระจายมัลแวร์
บริษัทรักษาความปลอดภัยที่ตรวจสอบเรื่องนี้กล่าวว่ายังไม่ชัดเจนว่ามัลแวร์แพร่กระจายไปอย่างไร
เมื่อพิจารณาจากคุณสมบัติทางเทคนิคแล้ว SentinelOne กล่าวว่าหยดขั้นแรกเป็นไบนารี Mach-O ซึ่งเหมือนกับไบนารีเทมเพลตที่ใช้ในตัวแปร Coinbase
ขั้นตอนแรกประกอบด้วยการสร้างโฟลเดอร์ใหม่ในไลบรารีของผู้ใช้ที่ดรอปตัวแทนการคงอยู่
วัตถุประสงค์หลักของขั้นตอนที่สองคือการแยกและดำเนินการไบนารีขั้นตอนที่สามซึ่งทำหน้าที่เป็นตัวดาวน์โหลดจากเซิร์ฟเวอร์ C2
คำแนะนำอ่านว่า
ผู้คุกคามไม่ได้พยายามเข้ารหัสหรือทำให้ไบนารี่ใด ๆ สับสน ซึ่งอาจบ่งบอกถึงแคมเปญระยะสั้นและ/หรือความกลัวเพียงเล็กน้อยที่จะถูกตรวจจับโดยเป้าหมาย
SentinelOne ยังกล่าวอีกว่า Operation In(ter)ception ดูเหมือนว่าจะขยายเป้าหมายจากผู้ใช้แพลตฟอร์มการแลกเปลี่ยนคริปโตไปยังพนักงานของพวกเขา ดูเหมือนว่า “สิ่งที่อาจเป็นความพยายามร่วมกันในการดำเนินการทั้งจารกรรมและการขโมยเงินดิจิตอล”
ที่มา: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/