臭名昭著的朝鲜 Lazarus 黑客组织发起了一项新的社会工程活动,黑客冒充 Coinbase 以针对金融科技行业的员工。
黑客组织使用的一种常见策略是通过 LinkedIn 接近目标以提供工作机会并进行初步讨论,作为社会工程攻击的一部分。
自 2022 年 2 月以来一直密切关注 Lazarus 活动的 Malwarebytes 安全研究员Hossein Jazi表示 ,威胁参与者现在假装来自 Coinbase,目标是适合“产品安全工程经理”角色的候选人。
Coinbase 是世界上最大的加密货币交易平台之一,这使 Lazarus 能够为一家享有盛誉的组织提供丰厚且诱人的工作机会奠定基础。
当受害者下载他们认为是关于工作职位的 PDF 文件时,他们实际上是在使用 PDF 图标获取恶意可执行文件。在这种情况下,该文件被命名为“Coinbase_online_careers_2022_07.exe”,该文件在执行时会显示如下所示的诱饵 PDF 文档,同时还会加载恶意 DLL。
运行假 PDF 可执行文件( @h2jazi )时显示诱饵 PDF
一旦执行,恶意软件将使用 GitHub 作为命令和控制服务器来接收命令以在受感染的设备上执行。
这个攻击链类似于 Malwarebytes 在 年初的一篇博客文章中记录的攻击链。
Jazi 告诉 Bleeping Computer,Lazarus 采用类似的策略和方法来用恶意软件感染他们的目标,并且各个网络钓鱼活动的特点是基础设施重叠。
Lazarus 过去使用虚假工作机会进行的其他活动是针对 通用动力公司 和 洛克希德马丁公司。
Lazarus 黑客瞄准加密货币
国家资助的朝鲜黑客组织以对银行、加密货币交易所、NFT 市场和持有大量股份的个人投资者发动出于财务动机的攻击而闻名。
今年早些时候,美国情报机构警告说,Lazarus 会传播 木马化的加密货币钱包 和投资应用程序,这些应用程序会窃取人们的私钥并窃取他们的财产。
4 月,美国财政部和 FBI 将 基于区块链的游戏 Axie Infinity 中 被盗的加密货币与 Lazarus 联系起来,认定他们对盗窃价值超过 6.17 亿 美元的以太坊和 USDC 代币负有责任。
正如后来透露的那样,在 7 月,Axie Infinity 黑客攻击成为可能,这要归功于 一个带有花边的 PDF 文件 ,该文件据称包含发送给一位区块链工程师的丰厚工作机会的详细信息。
打开文件会感染工程师的计算机,使 Lazarus 能够提高他们的权限并在公司网络中横向移动,最终在 Ronin Bridge 中找到漏洞并触发漏洞利用。
这种相同类型的攻击很可能是 Lazarus 希望在最新的 Coinbase 引诱活动中实现的,因为只需公司中的一个人即可打开 PDF 并使黑客能够获得对公司网络的初始访问权限
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 朝鲜黑客以虚假的Coinbase工作机会瞄准加密专家
