Lazarus Group은 현재 북한의 해커들이 원치 않는 Apple의 macOS 운영 체제를 대상으로 하는 가짜 암호화 작업. 해커 그룹은 공격을 수행하는 맬웨어를 배포했습니다.
이 최신 변종 캠페인은 사이버 보안 회사인 SentinelOne에서 면밀히 조사하고 있습니다.
사이버 보안 회사는 해커 그룹이 크립토닷컴(Crypto.com)이라는 싱가포르 기반 암호화폐 거래소 플랫폼의 광고 직위에 유인 문서를 사용한 것을 발견하고 이에 따라 해킹을 수행하고 있습니다.
해킹 캠페인의 최신 변종은 "Operation In(ter)ception"이라고 합니다. 보고된 바에 따르면 피싱 캠페인은 지금까지 Mac 사용자만을 대상으로 합니다.
해킹에 사용된 악성코드는 가짜 코인베이스 채용 공고에 사용된 악성코드와 동일한 것으로 확인됐다.
지난달 연구원들은 Lazarus가 가짜 Coinbase 채용 공고를 사용하여 macOS 사용자만 맬웨어를 다운로드하도록 속인 것을 관찰하고 발견했습니다.
그룹이 Crypto.com 플랫폼에서 해킹을 수행한 방법
이것은 오케스트레이션된 해킹으로 간주되었습니다. 이 해커는 악성코드를 인기 있는 암호화폐 거래소의 채용 공고로 위장했습니다.
이것은 싱가포르의 NFT(Art Director-Concept Art)와 같은 다양한 직책에 대한 광고 공석을 표시하는 잘 디자인되고 합법적으로 보이는 PDF 문서를 사용하여 수행됩니다.
SentinelOne의 보고서에 따르면 이 새로운 암호 화폐 직업 미끼에는 Lazarus의 LinkedIn 메시지를 통해 다른 희생자들에게 연락하여 표적으로 삼는 것이 포함되었습니다.
SentinelOne은 해커 캠페인에 대한 추가 세부 정보를 제공하면서 다음과 같이 말했습니다.
이 단계에서는 멀웨어가 어떻게 배포되는지 명확하지 않지만 이전 보고서에서는 위협 행위자가 LinkedIn의 표적 메시징을 통해 피해자를 유인하고 있다고 제안했습니다.
이 두 개의 가짜 구인 광고는 Operation In(ter)ception이라고 불리는 일련의 공격 중 가장 최근에 나온 것이며, Operation Dream Job이라는 광범위한 해킹 작업에 해당하는 광범위한 캠페인의 일부입니다.
관련 읽기 : STEPN은 비영리 단체를 위한 암호화폐 기부를 가능하게 하기 위해 Giving Block과 파트너십을 맺었습니다.
맬웨어가 배포되는 방식에 대한 명확성이 떨어짐
이를 조사하는 보안업체는 악성코드가 어떻게 유포되고 있는지에 대해선 아직 불분명하다고 말했다.
SentinelOne은 기술적인 측면을 고려하여 XNUMX단계 드로퍼가 코인베이스 변종에서 사용된 템플릿 바이너리와 동일한 Mach-O 바이너리라고 밝혔습니다.
첫 번째 단계는 사용자 라이브러리에 지속성 에이전트를 삭제하는 새 폴더를 만드는 것으로 구성됩니다.
두 번째 단계의 주요 목적은 C2 서버에서 다운로더 역할을 하는 세 번째 단계 바이너리를 추출하고 실행하는 것입니다.
권고는 읽었습니다,
위협 행위자는 바이너리를 암호화하거나 난독화하려는 노력을 기울이지 않았으며, 이는 아마도 단기 캠페인 및/또는 표적에 의한 탐지에 대한 두려움이 거의 없음을 나타낼 수 있습니다.
SentinelOne은 또한 Operation In(ter)ception이 "스파이 활동과 암호 화폐 절도를 모두 수행하기 위한 결합된 노력일 수 있는 것"처럼 보이기 때문에 암호화 교환 플랫폼 사용자에서 직원으로 대상을 확장하는 것 같다고 언급했습니다.
출처: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/