- Die Lazarus-Gruppe sind nordkoreanische Hacker
- Die Hacker senden nun unerbetene und gefälschte Krypto-Jobs
- Die neueste Variante der Kampagne wird von SentinelOne unter die Lupe genommen
Die Lazarus Group ist eine Gruppe nordkoreanischer Hacker, die derzeit ungefragt gefälschte Krypto-Jobs an Apples macOS-Betriebssystem senden. Die Malware, die von der Hackergruppe verwendet wird, startet den Angriff.
Die Cybersicherheitsfirma SentinelOne untersucht diese jüngste Variante der Kampagne.
Die Cybersicherheitsfirma hat festgestellt, dass die Hackergruppe Stellen für die in Singapur ansässige Kryptowährungsbörse Crypto.com mit Lockdokumenten beworben hat, und führt die Angriffe entsprechend durch.
Wie hat die Gruppe Hacks durchgeführt?
Operation In(ter)ception heißt die jüngste Variante der Hacking-Kampagne. Berichten zufolge zielt die Phishing-Kampagne hauptsächlich auf Mac-Benutzer ab.
Es wurde entdeckt, dass die bei den Hacks verwendete Malware dieselbe ist wie die Malware, die in gefälschten Stellenausschreibungen auf Coinbase verwendet wird.
Es wurde vermutet, dass dies ein geplanter Hack war. Malware wurde von diesen Hackern als Stellenausschreibungen von beliebten Kryptowährungsbörsen getarnt.
Dies geschieht mit gut gestalteten und legitim aussehenden PDF-Dokumenten, die offene Stellen für in Singapur ansässige Positionen wie Art Director-Concept Art (NFT) ausschreiben. Der Bericht von SentinelOne besagt, dass Lazarus LinkedIn-Messaging verwendet hat, um andere Opfer als Teil dieses neuen Krypto-Jobköders zu kontaktieren.
LESEN SIE AUCH: Mehr als 3000 BTC-Transfers standen im Rampenlicht
Dropper der ersten Stufe ist eine Mach-O-Binärdatei – SentinelOne
Diese beiden gefälschten Stellenanzeigen sind nur die jüngsten in einer Reihe von Angriffen, die als Operation In(ter)ception bezeichnet werden und wiederum Teil einer größeren Kampagne sind, die Teil der größeren Hacking-Operation namens Operation Dream Job ist . Beide Kampagnen sind Teil der größeren Operation.
Die Sicherheitsfirma, die sich damit befasste, sagte, dass die Art und Weise, wie sich die Malware verbreitet, immer noch ein Rätsel ist. SentinelOne gab an, dass der Dropper der ersten Stufe eine Mach-O-Binärdatei ist, die unter Berücksichtigung der Besonderheiten mit der in der Coinbase-Variante verwendeten Vorlagenbinärdatei identisch ist.
Der erste Schritt besteht darin, einen Persistenz-Agenten in einem brandneuen Ordner in der Bibliothek des Benutzers abzulegen.
Die Extraktion und Ausführung der Binärdatei der dritten Stufe, die als Downloader vom C2-Server dient, ist die Hauptfunktion der zweiten Stufe.
Quelle: https://www.thecoinrepublic.com/2022/09/29/macos-users-targeted-by-lazarus-hackers/