朝鲜APT Lazarus又玩起了老把戏,开展了针对工程师的网络间谍活动,通过发布虚假的招聘信息,试图传播macOS恶意软件。该活动中所使用的恶意的Mac可执行文件可以同时针对苹果和英特尔芯片系统进行攻击。
该攻击活动由ESET研究实验室的研究人员发现,并在周二发布的一系列推文中披露,研究人员透露,该攻击活动通过伪造加密货币交易商Coinbase的招聘信息,声称他们在招聘产品安全工程经理。
他们写道,最近的攻击活动被称为Operation In(ter)ception,攻击者投放了一个经过签名的Mac可执行文件,该文件伪装成了Coinbase的招聘文件,研究人员发现该文件是从巴西上传至VirusTotal平台。
其中一条推文称,该恶意软件是特地为英特尔和苹果编译的,它投放了三个文件,一个是诱饵PDF文件Coinbase_online_careers_2022_07.pdf,一个捆绑文件http[://]FinderFontsUpdater[.]app和一个下载器safarifontagent。
与以前的恶意软件的相似之处
研究人员说,该恶意软件与ESET在5月份发现的样本非常相似,其中也包括了一个伪装成工作招聘的签名可执行文件,是特地为苹果和英特尔编制的,并投放了一个PDF诱饵。
然而,根据其时间戳,最近的恶意软件是在7月21日签署的,这意味着它要么是最近才制作出来的东西,要么是以前恶意软件的变种。研究人员说,它使用的是2022年2月颁发给一个名叫Shankey Nohria的开发者的证书,该证书于8月12日被苹果公司撤销。并且该应用程序本身并没有经过公证。
据ESET称,Operation In(ter)ception还有一个配套的Windows版本的恶意软件,投放了同样的诱饵,并于8月4日被Malwarebytes威胁情报研究员Jazi发现。
该攻击活动中使用的恶意软件还连接到了一个与5月份发现的恶意软件不同的指挥和控制(C2)基础设施,https:[//]concrecapital[.]com/%user%[.]jpg,当研究人员试图连接到它时,它没有回应。
逍遥法外的Lazarus
众所周知,朝鲜的Lazarus是目前犯罪最猖狂的APT之一,并且已经被国际当局盯上了,早在2019年就被美国政府制裁了。
Lazarus以针对学者、记者和各行业的专业人士--特别是国防工业来为政府收集情报和财政支持而闻名。它经常使用与Operation In(ter)ception中观察到的类似的欺骗技巧,试图让受害者打开恶意软件的诱饵。
之前在1月份发现的一个攻击活动也是针对求职的工程师进行攻击,在鱼叉式网络钓鱼活动中向他们宣传虚假的就业机会。这些攻击将Windows Update作为一种攻击载体,将GitHub作为一个C2服务器。
同时,在去年发现的一个类似的活动中,Lazarus冒充国防承包商波音和通用汽车,声称他们在寻找求职者,其实就是为了传播恶意文件。
发生的改变
然而,最近Lazarus的攻击策略也开始变得多样化,联邦调查局透露,Lazarus还进行了一些加密货币窃取案,其目的是为了给Jong-un政权提供更多的资金。
与此相关,美国政府对加密货币混合服务Tornado Cash进行了制裁,因为它帮助Lazarus对其网络犯罪活动获得的现金进行了洗钱,他们认为这些资金是为了资助朝鲜的导弹计划。
在其疯狂的网络敲诈活动中,Lazarus甚至还涉足了勒索软件。5月,网络安全公司Trellix的研究人员将最近出现的VHD勒索软件与朝鲜APT有关。
本文翻译自:https://threatpost.com/apt-lazarus-macos-malware/180426/如若转载,请注明原文地址。