هوش داده افلاطون
جستجوی عمودی و هوش مصنوعی

APT Lazarus مهندسان را با بدافزار macOS هدف قرار می دهد

تاریخ:

APT کره شمالی از یک آگهی شغلی جعلی برای Coinbase در یک کمپین جاسوسی سایبری استفاده می کند که کاربران سیستم های مبتنی بر اپل و اینتل را هدف قرار می دهد.

APT کره شمالی جذامی ترفندهای قدیمی خود را با یک کمپین جاسوسی سایبری که مهندسین را با یک پست شغلی جعلی هدف قرار می دهد که سعی در گسترش بدافزار macOS دارد، انجام می دهد. فایل اجرایی مخرب Mac مورد استفاده در این کمپین هم سیستم های مبتنی بر تراشه اپل و هم اینتل را هدف قرار می دهد.

این کمپین، توسط محققانی از آزمایشگاه های تحقیقاتی ESET و در الف نازل شد سری توییت ها ارسال شده سه شنبه، جعل هویت معامله گر ارزهای دیجیتال کوین بیس در شرح شغلی که مدعی جستجوی یک مدیر مهندسی برای امنیت محصول است، محققان فاش کردند.

آنها نوشتند که کمپین اخیر با نام Operation In(ter)ception یک فایل اجرایی Mac امضا شده را که به عنوان شرح شغلی برای Coinbase پنهان شده بود، منتشر می کند، که محققان کشف کردند که از برزیل در VirusTotal آپلود شده است.خبرنامه Infosec Insidersطبق یکی از توییت‌ها، بدافزار برای اینتل و اپل سیلیکون کامپایل شده است. "این سه فایل را حذف می کند: یک سند PDF فریبنده Coinbase_online_careers_2022_07.pdf، یک بسته نرم افزاری http[://]FinderFontsUpdater[.] و یک دانلود کننده safarifontagent."

شباهت به بدافزار قبلی

بدافزار است مشابه نمونه محققان گفتند که توسط ESET در ماه مه کشف شد، که شامل یک فایل اجرایی امضا شده نیز بود که به عنوان شرح شغل پنهان شده بود، هم برای اپل و هم برای اینتل جمع‌آوری شد و یک فریبنده PDF را حذف کرد.

با این حال، جدیدترین بدافزار در تاریخ 21 ژوئیه بر اساس مهر زمانی آن امضا شده است، به این معنی که یا چیز جدیدی است یا نوعی از بدافزار قبلی است. به گفته محققان، این گواهی از گواهینامه ای استفاده می کند که در فوریه 2022 برای توسعه دهنده ای به نام Shankey Nohria صادر شد و در 12 اوت توسط اپل لغو شد. خود برنامه محضری نشده است.

Operation In(ter)ception همچنین دارای نسخه ویندوزی همراه بدافزار است که همان فریب را رها کرده و در 4 آگوست توسط Malwarebytes شناسایی شده است. جزی محقق اطلاعات تهدیدبه گفته ESET.

بدافزار مورد استفاده در کمپین همچنین به زیرساخت فرمان و کنترل (C2) متفاوت از بدافزار کشف شده در ماه مه، https:[//]concrecapital[.]com/%user%[.]jpg متصل می‌شود، که وقتی پاسخ نداد. محققان سعی کردند به آن متصل شوند.

لازاروس در آزاد

لازاروس کره شمالی به عنوان یکی از پرکارترین APT ها شناخته می شود و در حال حاضر در کانون مقامات بین المللی قرار دارد و در سال 2019 توسط دولت ایالات متحده تحریم شده است.

لازاروس به دلیل هدف قرار دادن دانشگاهیان، روزنامه نگاران و متخصصان در صنایع مختلف - به ویژه صنایع، شناخته شده است صنعت دفاعی- برای جمع آوری اطلاعات و پشتیبانی مالی برای رژیم کیم جونگ اون. اغلب از ترفندهای جعل هویت مشابه آنچه در Operation In(ter)ception مشاهده شد، استفاده کرده است تا قربانیان را به طعمه بدافزار بکشاند.

کمپین قبلی نیز در ژانویه شناسایی شد مهندسین جویای کار هدفمند با ایجاد فرصت های شغلی جعلی در کمپین نیزه ای فیشینگ. در این حملات از Windows Update به عنوان یک تکنیک زنده و GitHub به عنوان یک سرور C2 استفاده شد.

در همین حال، کمپین مشابهی که سال گذشته فاش شد لازاروس را دید که جعل هویت پیمانکاران دفاعی بوئینگ و جنرال موتورز است و ادعا می کند که به دنبال نامزدهای شغلی فقط برای انتشار اسناد مخرب است.

در حال تغییر آن

با این حال، اخیراً لازاروس تاکتیک‌های خود را متنوع کرده است و فدرال‌رزروها فاش کردند که لازاروس همچنین مسئول تعدادی سرقت رمزارز با هدف پر کردن رژیم جونگ اون با پول نقد بوده است.

مرتبط با این فعالیت، دولت ایالات متحده تحریم های اعمال شده در برابر سرویس میکسر ارزهای دیجیتال Tornado Cash به دلیل کمک به لازاروس در شستن پول نقد ناشی از فعالیت های مجرمانه سایبری خود، که آنها معتقدند بخشی از آن برای تأمین مالی برنامه موشکی کره شمالی است.

لازاروس حتی انگشت پای خود را در بحبوحه فعالیت های اخاذی سایبری خود در باج افزار فرو برده است. در ماه می، محققان شرکت امنیت سایبری Trellix باج افزار VHD اخیراً پدیدار شده را مرتبط کرد به APT کره شمالی.

نقطه_img

جدیدترین اطلاعات

نقطه_img