朝鲜APTLazarus玩老把戏,发起针对工程师的网络间谍活动,发布虚假招聘信息以传播macOS恶意软件。此活动中使用的恶意Mac可执行文件可以同时针对Apple和Intel芯片系统。该活动由ESET研究实验室的研究人员发现,并在周二的一系列推文中披露,该活动伪造了一份加密货币交易商Coinbase的招聘启事,声称他们正在寻找一名产品安全工程经理。.他们写道,在最近一次名为OperationIn(ter)ception的活动中,攻击者投放了一个伪装成Coinbase招聘文件的签名Mac可执行文件,研究人员发现该文件是从巴西上传的。到VirusTotal平台。其中一条推文称,该恶意软件专门为英特尔和苹果编译,投放了三个文件,一个诱饵PDF文件Coinbase_online_careers_2022_07.pdf,一个捆绑文件http[://]FinderFontsUpdater[.]app和一个Downloadersafarifontagent。与之前恶意软件的相似之处研究人员表示,该恶意软件与ESET在5月份发现的样本非常相似,还包括一个经过签名的可执行文件,它伪装成一份工作邀请,专为Apple和Intel设计,并投放了一个PDF诱饵。然而,根据其时间戳,最新的恶意软件是在7月21日签署的,这意味着它要么是最近制作的,要么是以前恶意软件的变体。研究人员表示,它使用的证书于2022年2月颁发给名为ShankeyNohria的开发人员,并于8月12日被苹果撤销。并且该应用程序本身未经过公证。据ESET称,OperationIn(ter)ception还有一个Windows版本的恶意软件,它会投放相同的诱饵,并于8月4日被Malwarebytes威胁情报研究员Jazi发现。该活动中使用的恶意软件还连接到与5月份发现的恶意软件不同的命令和控制(C2)基础设施,https://]concrecapital[.]com/%user%[.]jpg,当研究人员试图连接到它,它没有反应。拉撒路逍遥法外。众所周知,朝鲜的Lazarus是目前犯罪率最高的APT之一,已被国际权威机构盯上。它早在2019年就受到了美国政府的制裁。Lazarus以针对各行各业(尤其是国防工业)的学者、记者和专业人士为目标,为政府收集情报和资金支持而闻名。它经常使用类似于在OperationIn(ter)ception中观察到的欺骗技术,试图让受害者打开恶意软件的诱饵。1月份发现的先前攻击活动也针对求职工程师,在鱼叉式网络钓鱼活动中向他们宣传虚假工作机会。这些攻击使用WindowsUpdate作为攻击媒介,使用GitHub作为C2服务器。同时,在去年发现的类似活动中,Lazarus伪装成国防承包商波音公司和通用汽车公司,声称他们正在寻找求职者以分发恶意文件。发生了什么变化不过,最近Lazarus的攻击策略也开始多样化,FBI透露Lazarus还进行了一些加密货币盗窃活动,以便为正恩政权提供更多资金。在相关问题上,美国政府制裁了加密货币混合服务TornadoCash,因为它帮助Lazarus从其网络犯罪活动中洗钱,他们认为这些活动旨在资助朝鲜的导弹计划。在疯狂的网络勒索中,Lazarus甚至涉足勒索软件。5月,网络安全公司Trellix的研究人员将最近出现的VHD勒索软件与朝鲜APT联系起来。本文翻译自:https://threatpost.com/apt-lazarus-macos-malware/180426/如有转载请注明出处。
