与朝鲜有关的APT针对使用macOS恶意软件的求职者-VPS资讯_海外云服务器资讯_海外服务器资讯

据观察，与朝鲜有关的 Lazarus Group 以使用 macOS 恶意软件的求职者为目标，该恶意软件也在英特尔和 M1 芯片组上运行。

ESET 研究人员继续监控一场网络间谍活动，该活动被跟踪为“拦截行动”，至少自 2020 年 6 月以来一直很活跃。该活动针对在航空航天和军事部门工作的员工，并利用诱饵工作机会文件。

ESET 发布了一系列详细说明最近攻击的推文，专家们发现了一个签名的 Mac 可执行文件，伪装成 Coinbase 的职位描述。该恶意代码于 2022 年 8 月 11 日从巴西上传至 VirusTotal。

#ESETresearch #BREAKING一个伪装成 Coinbase 工作描述的签名 Mac 可执行文件从巴西上传到 VirusTotal 🇧🇷。这是#Lazarus for Mac 的 Operation In(ter)ception 的一个实例。@pkalnai @dbreitenbacher 1/7 pic.twitter.com/dXg89el5VT

— ESET 研究 (@ESETresearch) 2022 年 8 月 16 日

恶意软件是为 Intel 和 Apple Silicon 编译的，它会丢弃三个文件：诱饵 PDF 文档 Coinbase_online_careers_2022_07.pdf、捆绑包http://FinderFontsUpdater.app和下载器 safarifontagent。这一发现与 ESET 研究在 5 月份检测到的其他攻击类似。

#ESETresearch一年前，一个伪装成职位描述的签名 Mach-O 可执行文件从新加坡上传到 VirusTotal 🇸🇬。恶意软件是为 Intel 和 Apple Silicon 编译的，并且会释放 PDF 诱饵。我们认为这是 Mac 的#Lazarus活动的一部分。@pkalnai @marc_etienne_ 1/8 pic.twitter.com/DV7peRHdnJ

— ESET 研究 (@ESETresearch) 2022 年 5 月 4 日

攻击中使用的捆绑包于 7 月 21 日使用 2022 年 2 月颁发给名为 Shankey Nohria 的开发人员和团队标识符 264HFWQH63 的证书签署。

“该申请未经公证，苹果已于 8 月 12 日吊销了该证书。” 状态ESET。

专家注意到，与 May 攻击不同，下载器 safarifontagent 连接到不同的 C&C 服务器 (https://concrecapital[.]com/%user%.jpg)。在 ESET 专家分析此恶意软件时，C2 服务器没有响应。

研究人员@h2jazi也在 8 月 4 日发现了该恶意软件的 Windows 版本，它正在投放完全相同的诱饵。

#Lazarus #APT :
0dab8ad32f7ed4703b9217837c91cca7
Coinbase_online_careers_2022_07.exe

诱饵 pdf 是 Coinbase 的“产品安全工程经理”职位描述。

下一阶段：（走了！）
https://docs.mktrending[.]com/marrketend.png https://t.co/XETUeA5F6B pic.twitter.com/NTFUJ9AiCO

— 贾兹 (@h2jazi) 2022 年 8 月 4 日

ESET 还共享了针对此威胁的入侵指标 (IoC)。

IoCs:
FE336A032B564EEF07AFB2F8A478B0E0A37D9A1A6C4C1E7CD01E404CC5DD2853 (Extractor)
798020270861FDD6C293AE8BA13E86E100CE048830F86233910A2826FACD4272 (FinderFontsUpdater)
49046DFEAEFC59747E45E013F3AB5A2895B4245CFAA218DD2863D86451104506 (safarifontagent)
… 6/7

— ESET 研究 (@ESETresearch) 2022 年 8 月 16 日

转载请注明：VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 与朝鲜有关的APT针对使用macOS恶意软件的求职者

据观察，与朝鲜有关的 Lazarus Group 以使用 macOS 恶意软件的求职者为目标，该恶意软件也在英特尔和 M1 芯片组上运行。

与本文相关的文章