最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

与朝鲜有关的APT针对使用macOS恶意软件的求职者

网络安全 快米云 来源:快米云 45浏览

据观察,与朝鲜有关的 Lazarus Group 以使用 macOS 恶意软件的求职者为目标,该恶意软件也在英特尔和 M1 芯片组上运行。

ESET 研究人员继续监控一场网络间谍活动,该活动被跟踪为“拦截行动”,至少自 2020 年 6 月以来一直很活跃。该活动针对在航空航天和军事部门工作的员工,并利用诱饵工作机会文件。

ESET 发布了一系列详细说明最近攻击的推文,专家们发现了一个签名的 Mac 可执行文件,伪装成 Coinbase 的职位描述。该恶意代码于 2022 年 8 月 11 日从巴西上传至 VirusTotal。

恶意软件是为 Intel 和 Apple Silicon 编译的,它会丢弃三个文件:诱饵 PDF 文档 Coinbase_online_careers_2022_07.pdf、捆绑包http://FinderFontsUpdater.app和下载器 safarifontagent。这一发现与 ESET 研究在 5 月份检测到的其他攻击类似。

攻击中使用的捆绑包于 7 月 21 日使用 2022 年 2 月颁发给名为 Shankey Nohria 的开发人员和团队标识符 264HFWQH63 的证书签署。

“该申请未经公证,苹果已于 8 月 12 日吊销了该证书。” 状态ESET。

北朝鲜

专家注意到,与 May 攻击不同,下载器 safarifontagent 连接到不同的 C&C 服务器 (https://concrecapital[.]com/%user%.jpg)。在 ESET 专家分析此恶意软件时,C2 服务器没有响应。

研究人员@h2jazi也在 8 月 4 日发现了该恶意软件的 Windows 版本,它正在投放完全相同的诱饵。

ESET 还共享了针对此威胁的入侵指标 (IoC)。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 与朝鲜有关的APT针对使用macOS恶意软件的求职者