最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

Lazarus黑客通过Crypto.com工作机会放弃macOS恶意软件

网络安全 快米云 来源:快米云 27浏览

Crypto.com 竞技场

朝鲜 Lazarus 黑客组织现在正在使用虚假的“Crypto.com”工作机会来攻击加密领域的开发人员和艺术家,其长期目标可能是窃取数字资产和加密货币。

Crypto.com 是世界领先的加密货币交易平台之一。该公司在 2021 年收购了洛杉矶斯台普斯中心球馆并将其重新命名为“Crypto.com Arena”,并开始了一系列宣传该服务的电视广告,从而引起了人们的关注。

自 2020 年以来,Lazarus 黑客组织一直在开展一项名为“Operation In(ter)ception”的活动,他们的目标是在加密货币行业工作的人。

威胁参与者的目标是诱骗目标打开恶意文件,这些文件用恶意软件感染系统,这些恶意软件可用于破坏加密公司的内部网络,窃取大量加密货币、NFT 或进行间谍活动。

2022 年 8 月,有人看到 Lazarus 以假冒 Coinbase 的恶意工作机会针对 IT 员工,并以 Windows 恶意软件 或 macOS 恶意软件针对用户。

在 Sentinel One 的一份新报告中,黑客现在已经转而使用与之前活动中相同的 macOS 恶意软件来冒充 Crypto.com 进行网络钓鱼攻击。

最新活动详情

Lazarus 通常通过 LinkedIn 接近他们的目标,向他们发送直接消息,告知他们在一家大公司有一个利润丰厚的职位空缺。

与之前的 macOS 活动一样,黑客发送了一个伪装成 PDF 的 macOS 二进制文件,其中包含一个名为“Crypto.com_Job_Opportunities_2022_confidential.pdf”的 26 页 PDF 文件,其中包含 Crypto.com 的职位空缺。

 

包含虚假职位空缺的 PDF
包含虚假职位空缺的 PDF (前哨一号)

在后台,Mach-O 二进制文件在用户的库目录中创建一个文件夹(“WifiPreference”)并删除第二阶段和第三阶段文件。

在新目录下创建的文件列表
在新目录下创建的文件列表 (哨兵一号)

第二阶段是加载持久性代理(“wifianalyticsagent”)的“WifiAnalyticsServ.app”,最终连接到“market.contradecapital[.]com”上的 C2 服务器以获取最终有效负载“WiFiCloudWidget”。

硬编码 C2 地址
硬编码 C2 地址 (哨兵一号)

由于 C2 在调查时处于离线状态,安全研究人员无法检索最终有效载荷进行分析。

然而,他们注意到了指向短暂操作的特征,这是“Operation In(ter) ception”活动的典型特征。

“威胁行为者没有努力加密或混淆任何二进制文件,这可能表明短期活动和/或很少害怕被他们的目标检测到,” 哨兵一号 在他们的报告中解释道。

二进制文件使用临时签名进行签名,因此它们可以通过 Apple Gatekeeper 检查并作为受信任的软件执行

签名的 Lazarus 二进制文件
签名的 Lazarus 二进制文件 (哨兵一号)

很可能,Lazarus 很快就会转而冒充另一家公司,同时保持其他攻击元素基本不变。

如果您在一家加密公司工作,请警惕 LinkedIn 上主动提供的工作机会,因为一时的好奇心足以成为您雇主的特洛伊木马。

加密公司是 Lazarus 的热门目标

加密货币公司是 Lazarus 朝鲜国家支持的黑客组织的热门目标,据信该组织盗窃了超过 6 亿美元的加密货币。

Lazarus 首先通过传播 木马化加密货币钱包 和 交易应用程序来针对加密货币用户,这些应用程序 窃取人们的私钥并耗尽他们的财产。

4 月,美国财政部和 FBI 将 Lazarus 集团 与一起网络攻击 联系起来,该网络攻击 从基于区块链的游戏 Axie Infinity中窃取了价值超过 6.17 亿美元的以太坊和 USDC 代币。

后来发现,Axie Infinity 黑客攻击之所以成为可能,是因为 一个 包含发送给一位区块链工程师的丰厚工作机会的 PDF 文件。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Lazarus黑客通过Crypto.com工作机会放弃macOS恶意软件