APT Lazarus利用macOS恶意软件针对工程师进行攻击

安全
朝鲜APT在针对英特尔和苹果系统用户的网络间谍活动中,使用了Coinbase的虚假招聘信息进行攻击。

朝鲜APT Lazarus又玩起了老把戏,开展了针对工程师的网络间谍活动,通过发布虚假的招聘信息,试图传播macOS恶意软件。该活动中所使用的恶意的Mac可执行文件可以同时针对苹果和英特尔芯片系统进行攻击。

该攻击活动由ESET研究实验室的研究人员发现,并在周二发布的一系列推文中披露,研究人员透露,该攻击活动通过伪造加密货币交易商Coinbase的招聘信息,声称他们在招聘产品安全工程经理。

他们写道,最近的攻击活动被称为Operation In(ter)ception,攻击者投放了一个经过签名的Mac可执行文件,该文件伪装成了Coinbase的招聘文件,研究人员发现该文件是从巴西上传至VirusTotal平台。

其中一条推文称,该恶意软件是特地为英特尔和苹果编译的,它投放了三个文件,一个是诱饵PDF文件Coinbase_online_careers_2022_07.pdf,一个捆绑文件http[://]FinderFontsUpdater[.]app和一个下载器safarifontagent。

与以前的恶意软件的相似之处

研究人员说,该恶意软件与ESET在5月份发现的样本非常相似,其中也包括了一个伪装成工作招聘的签名可执行文件,是特地为苹果和英特尔编制的,并投放了一个PDF诱饵。

然而,根据其时间戳,最近的恶意软件是在7月21日签署的,这意味着它要么是最近才制作出来的东西,要么是以前恶意软件的变种。研究人员说,它使用的是2022年2月颁发给一个名叫Shankey Nohria的开发者的证书,该证书于8月12日被苹果公司撤销。并且该应用程序本身并没有经过公证。

据ESET称,Operation In(ter)ception还有一个配套的Windows版本的恶意软件,投放了同样的诱饵,并于8月4日被Malwarebytes威胁情报研究员Jazi发现。

该攻击活动中使用的恶意软件还连接到了一个与5月份发现的恶意软件不同的指挥和控制(C2)基础设施,https:[//]concrecapital[.]com/%user%[.]jpg,当研究人员试图连接到它时,它没有回应。

逍遥法外的Lazarus

众所周知,朝鲜的Lazarus是目前犯罪最猖狂的APT之一,并且已经被国际当局盯上了,早在2019年就被美国政府制裁了。

Lazarus以针对学者、记者和各行业的专业人士--特别是国防工业来为政府收集情报和财政支持而闻名。它经常使用与Operation In(ter)ception中观察到的类似的欺骗技巧,试图让受害者打开恶意软件的诱饵。

之前在1月份发现的一个攻击活动也是针对求职的工程师进行攻击,在鱼叉式网络钓鱼活动中向他们宣传虚假的就业机会。这些攻击将Windows Update作为一种攻击载体,将GitHub作为一个C2服务器。

同时,在去年发现的一个类似的活动中,Lazarus冒充国防承包商波音和通用汽车,声称他们在寻找求职者,其实就是为了传播恶意文件。

发生的改变

然而,最近Lazarus的攻击策略也开始变得多样化,联邦调查局透露,Lazarus还进行了一些加密货币窃取案,其目的是为了给Jong-un政权提供更多的资金。

与此相关,美国政府对加密货币混合服务Tornado Cash进行了制裁,因为它帮助Lazarus对其网络犯罪活动获得的现金进行了洗钱,他们认为这些资金是为了资助朝鲜的导弹计划。

在其疯狂的网络敲诈活动中,Lazarus甚至还涉足了勒索软件。5月,网络安全公司Trellix的研究人员将最近出现的VHD勒索软件与朝鲜APT有关。

本文翻译自:https://threatpost.com/apt-lazarus-macos-malware/180426/如若转载,请注明原文地址。

责任编辑:姜华 来源: 嘶吼网
相关推荐

2022-04-26 12:17:41

恶意软件网络攻击网络钓鱼

2023-08-30 07:19:49

2021-03-08 10:13:34

恶意软件卡巴斯基Lazarus

2022-05-05 09:04:33

恶意软件黑客

2022-07-19 16:20:07

恶意软件钓鱼攻击

2023-07-03 22:30:27

2021-05-13 07:57:32

微软恶意软件航空业

2021-02-02 09:12:13

恶意软件Android网络攻击

2009-02-04 10:30:47

2022-09-27 14:46:03

网络安全计算机恶意软件

2022-03-05 12:00:11

网络钓鱼网络攻击

2020-07-15 09:24:49

漏洞恶意软件DDoS攻击

2015-05-12 10:53:33

2022-08-18 17:50:22

黑客恶意软件安全

2011-05-16 09:56:16

2021-10-25 11:45:47

恶意软件AndroidTangleBot

2023-09-12 07:57:03

2024-11-13 14:38:58

2012-11-30 09:48:52

2011-05-18 14:22:33

点赞
收藏

51CTO技术栈公众号