تمويل

مستخدمو نظام التشغيل MacOS مستهدفون بواسطة Lazarus Hackers

09/29/2022
أخبار Bitcoin Ethereum

  • مجموعة لازاروس هم قراصنة كوريون شماليون
  • يرسل المتسللون الآن وظائف تشفير غير مرغوب فيها ومزيفة
  • يتم فحص أحدث نسخة من الحملة بواسطة SentinelOne

مجموعة Lazarus Group هي مجموعة من المتسللين الكوريين الشماليين الذين يرسلون حاليًا وظائف تشفير مزيفة إلى نظام تشغيل macOS الخاص بشركة Apple دون أن يطلبوها. البرامج الضارة التي تستخدمها مجموعة المتسللين هي التي تشن الهجوم.

تبحث شركة الأمن السيبراني SentinelOne في أحدث نسخة من الحملة.

قررت شركة الأمن السيبراني أن مجموعة المتسللين أعلنت عن مواقع لمنصة تبادل العملات المشفرة ومقرها سنغافورة Crypto.com باستخدام مستندات وهمية ، وتقوم بتنفيذ الهجمات وفقًا لذلك.

صورة

كيف أجرت المجموعة المأجورون؟

عملية In (ter) ception هو الاسم الذي يطلق على أحدث نسخة من حملة القرصنة. وفقًا للتقارير ، تستهدف حملة التصيد في المقام الأول مستخدمي Mac.

تم اكتشاف أن البرامج الضارة المستخدمة في عمليات الاختراق هي نفسها البرامج الضارة المستخدمة في إعلانات الوظائف الزائفة على Coinbase.

لقد تم اقتراح أن هذا كان اختراقًا مخططًا له. تم إخفاء البرامج الضارة من قبل هؤلاء المتسللين على أنها منشورات عن وظائف من منصات تبادل العملات المشفرة الشهيرة.

يتم ذلك باستخدام مستندات PDF جيدة التصميم وذات مظهر شرعي والتي تعلن عن فتحات لشغل وظائف مقرها سنغافورة مثل Art Director-Concept Art (NFT). يقول تقرير SentinelOne أن Lazarus استخدم رسائل LinkedIn للتواصل مع ضحايا آخرين كجزء من إغراء وظيفة التشفير الجديدة هذه.

اقرأ أيضًا: أكثر من 3000 BTC تحويلات استحوذت على دائرة الضوء

قطارة المرحلة الأولى عبارة عن قطارة Mach-O ثنائية - SentinelOne 

يعتبر هذان الإعلانان الوظيفيان المزيفان فقط الأحدث في سلسلة من الهجمات التي أُطلق عليها اسم Operation In (ter) ception وهما ، بدورهما ، جزء من حملة أكبر تعد جزءًا من عملية قرصنة أكبر تُعرف باسم Operation Dream Job . كلتا هاتين الحملتين جزء من عملية أكبر.

قالت شركة الأمن التي تبحث في هذا الأمر إن الطريقة التي ينتشر بها البرنامج الضار لا تزال غامضة. صرح SentinelOne أن قطارة المرحلة الأولى عبارة عن ثنائي Mach-O ، وهو نفس النموذج الثنائي المستخدم في متغير Coinbase ، مع مراعاة التفاصيل.

تتضمن الخطوة الأولى إسقاط عامل استمرار في مجلد جديد تمامًا في مكتبة المستخدم.

يعد استخراج وتنفيذ ثنائي المرحلة الثالثة ، والذي يعمل بمثابة أداة تنزيل من خادم C2 ، الوظيفة الأساسية للمرحلة الثانية.

المصدر: https://www.thecoinrepublic.com/2022/09/29/macos-users-targeted-by-lazarus-hackers/