首页 科技内容详情
APT Lazarus利用macOS恶意软件针对工程师进行攻击

APT Lazarus利用macOS恶意软件针对工程师进行攻击

分类:科技

标签: # 新闻

网址:

SEO查询: 爱站网 站长工具

点击直达

皇冠足球信用平台出租www.hg108.vip)是皇冠(正网)接入菜宝钱包的TRC20-USDT支付系统,为皇冠代理提供专业的网上运营管理系统。系统实现注册、充值、提现、客服等全自动化功能。采用的USDT匿名支付、阅后即焚的IM客服系统,让皇冠代理的运营更轻松更安全。

朝鲜APT Lazarus又玩起了老把戏,开展了针对工程师的网络间谍活动,通过发布虚假的招聘信息,试图传播macOS恶意软件。该活动中所使用的恶意的Mac可执行文件可以同时针对苹果和英特尔芯片系统进行攻击。

该攻击活动由ESET研究实验室的研究人员发现,并在周二发布的一系列推文中披露,研究人员透露,该攻击活动通过伪造加密货币交易商Coinbase的招聘信息,声称他们在招聘产品安全工程经理。

他们写道,最近的攻击活动被称为Operation In(ter)ception,攻击者投放了一个经过签名的Mac可执行文件,该文件伪装成了Coinbase的招聘文件,研究人员发现该文件是从巴西上传至VirusTotal平台。

其中一条推文称,该恶意软件是特地为英特尔和苹果编译的,它投放了三个文件,一个是诱饵PDF文件Coinbase_online_careers_2022_07.pdf,一个捆绑文件http[://]FinderFontsUpdater[.]app和一个下载器safarifontagent。

与以前的恶意软件的相似之处

研究人员说,该恶意软件与ESET在5月份发现的样本非常相似,其中也包括了一个伪装成工作招聘的签名可执行文件,是特地为苹果和英特尔编制的,并投放了一个PDF诱饵。

然而,根据其时间戳,最近的恶意软件是在7月21日签署的,这意味着它要么是最近才制作出来的东西,要么是以前恶意软件的变种。研究人员说,它使用的是2022年2月颁发给一个名叫Shankey Nohria的开发者的证书,该证书于8月12日被苹果公司撤销。并且该应用程序本身并没有经过公证。

据ESET称,Operation In(ter)ception还有一个配套的Windows版本的恶意软件,投放了同样的诱饵,并于8月4日被Malwarebytes威胁情报研究员Jazi发现。

该攻击活动中使用的恶意软件还连接到了一个与5月份发现的恶意软件不同的指挥和控制(C2)基础设施,https:[//]concrecapital[.]com/%user%[.]jpg,当研究人员试图连接到它时,它没有回应。

,

usdt接口www.trc20.vip)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键出售Usdt。

,

逍遥法外的Lazarus

众所周知,朝鲜的Lazarus是目前犯罪最猖狂的APT之一,并且已经被国际当局盯上了,早在2019年就被美国政府制裁了。

Lazarus以针对学者、记者和各行业的专业人士--特别是国防工业来为政府收集情报和财政支持而闻名。它经常使用与Operation In(ter)ception中观察到的类似的欺骗技巧,试图让受害者打开恶意软件的诱饵。

之前在1月份发现的一个攻击活动也是针对求职的工程师进行攻击,在鱼叉式网络钓鱼活动中向他们宣传虚假的就业机会。这些攻击将Windows Update作为一种攻击载体,将GitHub作为一个C2服务器。

同时,在去年发现的一个类似的活动中,Lazarus冒充国防承包商波音和通用汽车,声称他们在寻找求职者,其实就是为了传播恶意文件。

发生的改变

然而,最近Lazarus的攻击策略也开始变得多样化,联邦调查局透露,Lazarus还进行了一些加密货币窃取案,其目的是为了给Jong-un政权提供更多的资金。

与此相关,美国政府对加密货币混合服务Tornado Cash进行了制裁,因为它帮助Lazarus对其网络犯罪活动获得的现金进行了洗钱,他们认为这些资金是为了资助朝鲜的导弹计划。

在其疯狂的网络敲诈活动中,Lazarus甚至还涉足了勒索软件。5月,网络安全公司Trellix的研究人员将最近出现的VHD勒索软件与朝鲜APT有关。

本文翻译自:https://threatpost.com/apt-lazarus-macos-malware/180426/
 当前暂无评论,快来抢沙发吧~

发布评论