Tập đoàn Lazarus khét tiếng đã tiếp tục mô hình tận dụng các cơ hội việc làm không mong muốn để triển khai phần mềm độc hại nhắm vào hệ điều hành macOS của Apple.
Trong biến thể mới nhất của chiến dịch được quan sát bởi công ty an ninh mạng SentinelOne vào tuần trước, tài liệu giả mạo các vị trí quảng cáo cho công ty trao đổi tiền điện tử Crypto có trụ sở tại Singapore[.]com đã được sử dụng để gắn kết các cuộc tấn công.
Tiết lộ mới nhất được xây dựng dựa trên những phát hiện trước đó từ công ty an ninh mạng ESET của Slovakia vào tháng 8, công ty này đã đào sâu vào một tin tuyển dụng giả mạo tương tự cho nền tảng trao đổi tiền điện tử Coinbase.
Cả hai quảng cáo việc làm giả mạo này chỉ là cuộc tấn công mới nhất trong một loạt các cuộc tấn công được đặt tên là Operation In (ter) ception, đến lượt nó, là một phần cấu thành của một chiến dịch rộng lớn hơn được theo dõi dưới tên Operation Dream Job.
Mặc dù vectơ phân phối chính xác của phần mềm độc hại vẫn chưa được biết, nhưng người ta nghi ngờ rằng các mục tiêu tiềm năng được chỉ ra thông qua tin nhắn trực tiếp trên trang mạng kinh doanh LinkedIn.
Các cuộc xâm nhập bắt đầu với việc triển khai tệp nhị phân Mach-O, một ống nhỏ giọt khởi chạy tài liệu PDF mồi nhử chứa danh sách công việc tại Crypto.com, trong khi ở chế độ nền, nó xóa trạng thái đã lưu của Terminal (“com.apple.Terminal. SaveState “).
Trình tải xuống, cũng tương tự như thư viện safarifontagent được sử dụng trong chuỗi tấn công Coinbase, sau đó hoạt động như một đường dẫn cho một gói giai đoạn hai đơn giản có tên “WifiAnalyticsServ.app”, là phiên bản sao chép của “FinderFontsUpdater.app.”
Các nhà nghiên cứu Dinesh Devadoss và Phil Stokes của SentinelOne cho biết: “Mục đích chính của giai đoạn thứ hai là trích xuất và thực thi nhị phân giai đoạn thứ ba, wifianalyticsagent”. “Chức năng này hoạt động như một trình tải xuống từ [command-and-control] người phục vụ.”
Trọng tải cuối cùng được phân phối đến máy bị xâm nhập là không xác định do máy chủ C2 chịu trách nhiệm lưu trữ phần mềm độc hại hiện đang ngoại tuyến.
Các cuộc tấn công này không bị cô lập, vì Lazarus Group có lịch sử thực hiện các cuộc tấn công mạng trên các nền tảng blockchain và tiền điện tử như một cơ chế trốn tránh lệnh trừng phạt, cho phép kẻ thù truy cập trái phép vào mạng doanh nghiệp và ăn cắp tiền kỹ thuật số.
Các nhà nghiên cứu cho biết: “Các tác nhân đe dọa đã không cố gắng mã hóa hoặc làm xáo trộn bất kỳ mã nhị phân nào, có thể chỉ ra các chiến dịch ngắn hạn và / hoặc ít sợ mục tiêu bị phát hiện”.
.