مجموعة Lazarus Group هم قراصنة كوريون شماليون يرسلون الآن غير المرغوب فيها ووظائف التشفير المزيفة التي تستهدف نظام تشغيل macOS من Apple. قامت مجموعة المتسللين بنشر برامج ضارة تقوم بالهجوم.
يتم فحص أحدث نسخة من الحملة من قبل شركة الأمن السيبراني SentinelOne.
اكتشفت شركة الأمن السيبراني أن مجموعة المتسللين استخدمت مستندات وهمية للإعلان عن مواقع لمنصة تبادل العملات المشفرة ومقرها سنغافورة وتسمى Crypto.com وتقوم بعمليات الاختراق وفقًا لذلك.
أحدث نسخة من حملة القرصنة كانت تسمى "عملية في (ثالث) استقبال". وبحسب ما ورد ، فإن حملة التصيد تستهدف فقط مستخدمي Mac حتى الآن.
تم العثور على البرامج الضارة المستخدمة في عمليات الاختراق لتكون مماثلة لتلك المستخدمة في إعلانات الوظائف المزيفة في Coinbase.
في الشهر الماضي ، لاحظ الباحثون واكتشفوا أن Lazarus استخدم فرص عمل مزيفة Coinbase لخداع مستخدمي macOS فقط لتنزيل البرامج الضارة.
كيف أجرت المجموعة عمليات اختراق على منصة Crypto.com
تم اعتبار هذا اختراقًا منظمًا. قام هؤلاء المتسللون بتمويه البرامج الضارة باعتبارها منشورات للوظائف من عمليات تبادل العملات المشفرة الشائعة.
يتم إجراء ذلك باستخدام مستندات PDF جيدة التصميم والتي تبدو مشروعة والتي تعرض وظائف شاغرة للإعلان عن وظائف مختلفة ، مثل Art Director-Concept Art (NFT) في سنغافورة.
وفقًا لتقرير صادر عن SentinelOne ، تضمن هذا الإغراء الجديد للوظيفة المشفرة استهداف ضحايا آخرين من خلال التواصل معهم عبر رسائل لينكد إن بواسطة Lazarus.
قدم SentinelOne تفاصيل إضافية فيما يتعلق بحملة القرصنة ،
على الرغم من أنه ليس من الواضح في هذه المرحلة كيفية توزيع البرامج الضارة ، إلا أن التقارير السابقة أشارت إلى أن الجهات الفاعلة في التهديد كانت تجتذب الضحايا عبر الرسائل المستهدفة على LinkedIn.
هذان الإعلانان المزيفان عن الوظائف هما فقط الأحدث في مجموعة من الهجمات التي أُطلق عليها اسم Operation In (ter) ception ، والتي بدورها جزء من حملة أوسع تندرج ضمن عملية القرصنة الأوسع نطاقًا المسماة Operation Dream Job.
القراءة ذات الصلة: شركاء STEPN مع كتلة العطاء لتمكين تبرعات التشفير للمنظمات غير الربحية
وضوح أقل حول كيفية توزيع البرامج الضارة
ذكرت الشركة الأمنية التي تنظر في هذا الأمر أنه لا يزال من غير الواضح كيف يتم تداول البرامج الضارة.
بالنظر إلى الجوانب الفنية ، قال SentinelOne أن قطارة المرحلة الأولى عبارة عن ثنائي Mach-O ، وهو نفس النموذج الثنائي الذي تم استخدامه في متغير Coinbase.
تتكون المرحلة الأولى من إنشاء مجلد جديد في مكتبة المستخدم يسقط عامل استمرار.
الغرض الأساسي من المرحلة الثانية هو استخراج ثنائي المرحلة الثالثة وتنفيذه ، والذي يعمل بمثابة أداة تنزيل من خادم C2.
وجاء في الفتوى:
لم يبذل ممثلو التهديد أي جهد لتشفير أو تعتيم أي من الثنائيات ، مما قد يشير إلى حملات قصيرة المدى و / أو خوف ضئيل من اكتشاف أهدافهم.
ذكر SentinelOne أيضًا أن عملية الاستلام في (ثالثًا) يبدو أيضًا أنها توسع الأهداف من مستخدمي منصات تبادل العملات المشفرة إلى موظفيها ، حيث يبدو أنه "ما قد يكون جهدًا مشتركًا لإجراء كل من سرقة التجسس والعملات المشفرة".
المصدر: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/