Βόρεια Κορέα APT Λάζαρος ανταποκρίνεται στα παλιά του κόλπα με μια καμπάνια κυβερνοκατασκοπείας που στοχεύει μηχανικούς με μια ψεύτικη ανάρτηση εργασίας που επιχειρεί να διαδώσει κακόβουλο λογισμικό macOS. Το κακόβουλο εκτελέσιμο Mac που χρησιμοποιείται στην καμπάνια στοχεύει τόσο συστήματα που βασίζονται σε τσιπ της Apple όσο και της Intel.

Η εκστρατεία, που προσδιορίστηκε από ερευνητές από ESET Research Labs και αποκαλύφθηκε σε α σειρά tweets αναρτήθηκε Τρίτη, υποδύεται έμπορος κρυπτονομισμάτων Coinbase σε μια περιγραφή εργασίας που ισχυρίζεται ότι αναζητά έναν μηχανικό διευθυντή για την ασφάλεια των προϊόντων, αποκάλυψαν οι ερευνητές.

Με την ονομασία Operation In(ter)ception, η πρόσφατη καμπάνια ρίχνει ένα υπογεγραμμένο εκτελέσιμο Mac μεταμφιεσμένο ως περιγραφή εργασίας για το Coinbase, το οποίο οι ερευνητές ανακάλυψαν ότι ανέβηκε στο VirusTotal από τη Βραζιλία, έγραψαν.«Το κακόβουλο λογισμικό έχει δημιουργηθεί τόσο για την Intel όσο και για την Apple Silicon», σύμφωνα με ένα από τα tweets. "Αποσύρει τρία αρχεία: ένα αποκαλυπτικό έγγραφο PDF Coinbase_online_careers_2022_07.pdf, ένα πακέτο http[://]FinderFontsUpdater[.]εφαρμογή και ένα πρόγραμμα λήψης safarifontagent."

Ομοιότητες με το προηγούμενο κακόβουλο λογισμικό

Το κακόβουλο λογισμικό είναι παρόμοια με ένα δείγμα που ανακαλύφθηκε από την ESET τον Μάιο, το οποίο περιελάμβανε επίσης ένα υπογεγραμμένο εκτελέσιμο αρχείο που μεταμφιέζεται ως περιγραφή εργασίας, μεταγλωττίστηκε τόσο για την Apple όσο και για την Intel και άφησε ένα δόλωμα PDF, είπαν οι ερευνητές.

Ωστόσο, το πιο πρόσφατο κακόβουλο λογισμικό υπογράφηκε στις 21 Ιουλίου, σύμφωνα με τη χρονική του σήμανση, που σημαίνει ότι είναι είτε κάτι νέο είτε μια παραλλαγή του προηγούμενου κακόβουλου λογισμικού. Χρησιμοποιεί ένα πιστοποιητικό που εκδόθηκε τον Φεβρουάριο του 2022 σε έναν προγραμματιστή που ονομάζεται Shankey Nohria και το οποίο ανακλήθηκε από την Apple στις 12 Αυγούστου, είπαν οι ερευνητές. Η ίδια η εφαρμογή δεν ήταν συμβολαιογραφική.

Το Operation In(ter)ception έχει επίσης μια συνοδευτική έκδοση του κακόβουλου λογισμικού για Windows που ρίχνει το ίδιο δόλωμα και εντόπισε την 4η Αυγούστου από την Malwarebytes ερευνητής πληροφοριών απειλών Jazi, σύμφωνα με την ESET.

Το κακόβουλο λογισμικό που χρησιμοποιείται στην καμπάνια συνδέεται επίσης με μια διαφορετική υποδομή εντολών και ελέγχου (C2) από το κακόβουλο λογισμικό που ανακαλύφθηκε τον Μάιο, https:[//]concrecapital[.]com/%user%[.]jpg, το οποίο δεν απάντησε όταν οι ερευνητές προσπάθησαν να συνδεθούν με αυτό.

Lazarus on the Loose

Το Lazarus της Βόρειας Κορέας είναι γνωστό ως ένα από τα πιο παραγωγικά APT και βρίσκεται ήδη στο στόχαστρο των διεθνών αρχών, αφού είχε επιβληθεί κυρώσεις το 2019 από την κυβέρνηση των ΗΠΑ.

Ο Lazarus είναι γνωστός για τη στόχευση ακαδημαϊκών, δημοσιογράφων και επαγγελματιών σε διάφορους κλάδους—ιδιαίτερα αμυντικής βιομηχανίας-να συγκεντρώσει πληροφορίες και οικονομική υποστήριξη για το καθεστώς του Κιμ Γιονγκ-ουν. Συχνά έχει χρησιμοποιήσει τεχνάσματα πλαστοπροσωπίας παρόμοια με αυτά που παρατηρήθηκαν στο Operation In(ter)ception για να προσπαθήσει να κάνει τα θύματα να πάρουν το δόλωμα του κακόβουλου λογισμικού.

Μια προηγούμενη καμπάνια εντοπίστηκε επίσης τον Ιανουάριο στοχευμένους μηχανικούς που αναζητούν εργασία φέρνοντάς τους ψεύτικες ευκαιρίες απασχόλησης σε μια εκστρατεία spear-phishing. Οι επιθέσεις χρησιμοποίησαν το Windows Update ως τεχνική που ζει και το GitHub ως διακομιστή C2.

Εν τω μεταξύ, α παρόμοια εκστρατεία αποκαλύφθηκε πέρυσι είδε τον Λάζαρου να υποδύεται τους αμυντικούς εργολάβους Boeing και General Motors και να ισχυρίζεται ότι αναζητά υποψηφίους για εργασία μόνο για να διαδώσει κακόβουλα έγγραφα.

Αλλάζοντάς το

Ωστόσο, πιο πρόσφατα η Lazarus διαφοροποίησε τις τακτικές της, με τις ομοσπονδιακές αρχές να αποκαλύπτουν ότι ο Lazarus ήταν επίσης υπεύθυνος για μια σειρά από ληστείες κρυπτονομισμάτων με στόχο να γεμίσουν το καθεστώς του Jong-un με μετρητά.

Σχετικά με αυτή τη δραστηριότητα, η κυβέρνηση των Η.Π.Α επιβλήθηκαν κυρώσεις κατά της υπηρεσίας μίξης κρυπτονομισμάτων Tornado Cash επειδή βοήθησε τη Lazarus να ξεπλύνει μετρητά από τις δραστηριότητές της στον κυβερνοχώρο, οι οποίες πιστεύουν ότι εν μέρει χρηματοδοτούν το πυραυλικό πρόγραμμα της Βόρειας Κορέας.

Ο Lazarus έχει βυθίσει ακόμη και το δάχτυλό του σε ransomware εν μέσω της φρενίτιδας της δραστηριότητάς του στον κυβερνοχώρο. Τον Μάιο, ερευνητές της εταιρείας κυβερνοασφάλειας Trellix συνέδεσε το πρόσφατα εμφανιζόμενο ransomware VHD στο βορειοκορεατικό APT.