คริปโต

Lazarus Hacker Group กำหนดเป้าหมายผู้ใช้ MacOS ผ่านงาน Crypto

09/28/2022
ข่าว Bitcoin Ethereum

Lazarus Group คือแฮกเกอร์ชาวเกาหลีเหนือที่กำลังส่ง ที่ไม่พึงประสงค์ และงาน crypto ปลอมที่กำหนดเป้าหมายไปยังระบบปฏิบัติการ macOS ของ Apple กลุ่มแฮ็กเกอร์ได้ติดตั้งมัลแวร์ซึ่งดำเนินการโจมตี

แคมเปญล่าสุดนี้กำลังถูกตรวจสอบโดยบริษัทรักษาความปลอดภัยทางไซเบอร์ SentinelOne

บริษัทรักษาความปลอดภัยทางไซเบอร์พบว่ากลุ่มแฮ็กเกอร์ใช้เอกสารหลอกลวงสำหรับตำแหน่งโฆษณาสำหรับแพลตฟอร์มการแลกเปลี่ยนสกุลเงินดิจิทัลในสิงคโปร์ที่เรียกว่า Crypto.com และกำลังดำเนินการแฮ็กตามนั้น

แคมเปญแฮ็ครุ่นล่าสุดเรียกว่า "Operation In(ter)ception" มีรายงานว่าแคมเปญฟิชชิ่งมุ่งเป้าไปที่ผู้ใช้ Mac เท่านั้น

มัลแวร์ที่ใช้สำหรับการแฮ็กนั้นเหมือนกับมัลแวร์ที่ใช้ในการโพสต์งาน Coinbase ปลอม

ภาพ

เมื่อเดือนที่แล้ว นักวิจัยสังเกตและพบว่า Lazarus ใช้ตำแหน่งงาน Coinbase ปลอมเพื่อหลอกเฉพาะผู้ใช้ macOS ให้ดาวน์โหลดมัลแวร์

กลุ่มทำการแฮ็กบนแพลตฟอร์ม Crypto.com ได้อย่างไร

สิ่งนี้ได้รับการพิจารณาว่าเป็นการแฮ็คที่ประสานกัน แฮกเกอร์เหล่านี้ได้ปลอมแปลงมัลแวร์เป็นการโพสต์งานจากการแลกเปลี่ยน crypto ยอดนิยม

ดำเนินการโดยใช้เอกสาร PDF ที่ออกแบบมาอย่างดีและดูเหมือนถูกต้องตามกฎหมาย ซึ่งแสดงตำแหน่งงานว่างโฆษณาสำหรับตำแหน่งต่างๆ เช่น Art Director-Concept Art (NFT) ในสิงคโปร์

ตามรายงานจาก SentinelOne งานล่อ crypto ใหม่นี้รวมถึงการกำหนดเป้าหมายเหยื่อรายอื่นด้วยการติดต่อพวกเขาในการส่งข้อความ LinkedIn โดย Lazarus

โดยให้รายละเอียดเพิ่มเติมเกี่ยวกับแคมเปญแฮ็กเกอร์ SentinelOne กล่าวว่า

แม้ว่าจะยังไม่ชัดเจนในขั้นตอนนี้ว่ามีการแจกจ่ายมัลแวร์อย่างไร รายงานก่อนหน้านี้ชี้ให้เห็นว่าผู้คุกคามกำลังดึงดูดผู้ที่ตกเป็นเหยื่อผ่านการส่งข้อความเป้าหมายบน LinkedIn

โฆษณางานปลอมทั้งสองนี้เป็นเพียงโฆษณาล่าสุดในโฮสต์ของการโจมตีที่เรียกว่า Operation In(ter)ception และในทางกลับกันก็เป็นส่วนหนึ่งของแคมเปญที่กว้างขึ้นซึ่งตกอยู่ภายใต้การดำเนินการแฮ็คในวงกว้างที่เรียกว่า Operation Dream Job

การอ่านที่เกี่ยวข้อง: STEPN ร่วมมือกับ The Giving Block เพื่อเปิดใช้งานการบริจาค Crypto สำหรับองค์กรไม่แสวงหากำไร

ความชัดเจนน้อยลงเกี่ยวกับวิธีการกระจายมัลแวร์

บริษัทรักษาความปลอดภัยที่ตรวจสอบเรื่องนี้กล่าวว่ายังไม่ชัดเจนว่ามัลแวร์แพร่กระจายไปอย่างไร

เมื่อพิจารณาจากคุณสมบัติทางเทคนิคแล้ว SentinelOne กล่าวว่าหยดขั้นแรกเป็นไบนารี Mach-O ซึ่งเหมือนกับไบนารีเทมเพลตที่ใช้ในตัวแปร Coinbase

ขั้นตอนแรกประกอบด้วยการสร้างโฟลเดอร์ใหม่ในไลบรารีของผู้ใช้ที่ดรอปตัวแทนการคงอยู่

วัตถุประสงค์หลักของขั้นตอนที่สองคือการแยกและดำเนินการไบนารีขั้นตอนที่สามซึ่งทำหน้าที่เป็นตัวดาวน์โหลดจากเซิร์ฟเวอร์ C2

คำแนะนำอ่านว่า

ผู้คุกคามไม่ได้พยายามเข้ารหัสหรือทำให้ไบนารี่ใด ๆ สับสน ซึ่งอาจบ่งบอกถึงแคมเปญระยะสั้นและ/หรือความกลัวเพียงเล็กน้อยที่จะถูกตรวจจับโดยเป้าหมาย

SentinelOne ยังกล่าวอีกว่า Operation In(ter)ception ดูเหมือนว่าจะขยายเป้าหมายจากผู้ใช้แพลตฟอร์มการแลกเปลี่ยนคริปโตไปยังพนักงานของพวกเขา ดูเหมือนว่า “สิ่งที่อาจเป็นความพยายามร่วมกันในการดำเนินการทั้งจารกรรมและการขโมยเงินดิจิตอล”

คริปโต
Bitcoin มีราคาอยู่ที่ 19,400 ดอลลาร์ในกราฟวันเดียว | แหล่งที่มา: BTCUSD บน TradingView

ที่มา: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/