การเงิน

ผู้ใช้ MacOS ตกเป็นเป้าหมายโดย Lazarus Hackers

09/29/2022
ข่าว Bitcoin Ethereum

  • Lazarus Group เป็นแฮกเกอร์ชาวเกาหลีเหนือ
  • แฮกเกอร์กำลังส่งงานเข้ารหัสลับที่ไม่พึงประสงค์และปลอม
  • แคมเปญล่าสุดกำลังถูกตรวจสอบโดย SentinelOne

Lazarus Group เป็นกลุ่มแฮกเกอร์ชาวเกาหลีเหนือที่ส่งงาน crypto ปลอมไปยังระบบปฏิบัติการ macOS ของ Apple โดยไม่ต้องขอ มัลแวร์ที่ใช้โดยกลุ่มแฮ็กเกอร์คือสิ่งที่เปิดการโจมตี

บริษัทรักษาความปลอดภัยทางไซเบอร์ SentinelOne กำลังตรวจสอบรูปแบบล่าสุดของแคมเปญนี้

บริษัทรักษาความปลอดภัยในโลกไซเบอร์ระบุว่ากลุ่มแฮ็กเกอร์โฆษณาตำแหน่งสำหรับแพลตฟอร์มแลกเปลี่ยนสกุลเงินดิจิทัลในสิงคโปร์ Crypto.com โดยใช้เอกสารหลอกลวง และกำลังดำเนินการโจมตีตามนั้น

ภาพ

กลุ่มดำเนินการแฮ็คอย่างไร?

Operation In(ter)ception เป็นชื่อที่กำหนดให้กับตัวแปรล่าสุดของแคมเปญแฮ็ค ตามรายงาน แคมเปญฟิชชิ่งมุ่งเป้าไปที่ผู้ใช้ Mac เป็นหลัก

มีการค้นพบว่ามัลแวร์ที่ใช้ในการแฮ็กนั้นเหมือนกับมัลแวร์ที่ใช้ในการโพสต์งานปลอมบน Coinbase

มีคนแนะนำว่านี่เป็นการแฮ็กที่วางแผนไว้ มัลแวร์ถูกแฮ็กเกอร์ปลอมแปลงเป็นประกาศรับสมัครงานจากการแลกเปลี่ยนสกุลเงินดิจิทัลยอดนิยม

ทำได้ด้วยเอกสาร PDF ที่ออกแบบมาอย่างดีและดูถูกกฎหมาย ซึ่งโฆษณาตำแหน่งงานว่างสำหรับตำแหน่งในสิงคโปร์ เช่น Art Director-Concept Art (NFT) รายงานของ SentinelOne ระบุว่า Lazarus ใช้ข้อความ LinkedIn เพื่อติดต่อกับเหยื่อรายอื่นซึ่งเป็นส่วนหนึ่งของงาน crypto ใหม่นี้

อ่านอีกครั้ง: การโอนมากกว่า 3000 BTC ได้รับความสนใจ

หยดขั้นแรกเป็นไบนารี Mach-O – SentinelOne 

โฆษณางานปลอมทั้งสองนี้เป็นเพียงชุดล่าสุดของการโจมตีที่ได้รับการขนานนามว่า Operation In(ter)ception และในทางกลับกันก็เป็นส่วนหนึ่งของแคมเปญที่ใหญ่กว่าซึ่งเป็นส่วนหนึ่งของการดำเนินการแฮ็คที่ใหญ่กว่าที่เรียกว่า Operation Dream Job . ทั้งสองแคมเปญนี้เป็นส่วนหนึ่งของการดำเนินงานที่ใหญ่ขึ้น

บริษัทรักษาความปลอดภัยที่ตรวจสอบเรื่องนี้กล่าวว่าวิธีที่มัลแวร์แพร่กระจายไปยังคงเป็นปริศนา SentinelOne ระบุว่า dropper ขั้นแรกคือ Mach-O binary ซึ่งเหมือนกับไบนารีเทมเพลตที่ใช้ในตัวแปร Coinbase โดยคำนึงถึงข้อมูลเฉพาะ

ขั้นตอนแรกเกี่ยวข้องกับการวางตัวแทนการคงอยู่ลงในโฟลเดอร์ใหม่ในไลบรารีของผู้ใช้

การแยกและการดำเนินการของไบนารีขั้นที่สาม ซึ่งทำหน้าที่เป็นตัวดาวน์โหลดจากเซิร์ฟเวอร์ C2 เป็นฟังก์ชันหลักของสเตจที่สอง

ที่มา: https://www.thecoinrepublic.com/2022/09/29/macos-users-targeted-by-lazarus-hackers/