واصلت مجموعة Lazarus Group Lazarus Hackers تستهدف بأسلوبها في الاستفادة من فرص العمل غير المرغوب فيها لنشر البرامج الضارة التي تستهدف نظام تشغيل macOS من Apple.
في أحدث نسخة من الحملة التي رصدتها شركة الأمن السيبراني SentinelOne الأسبوع الماضي ، توثق شرك توثق المناصب الإعلانية لشركة تبادل العملات الرقمية Crypto [.] com التي تتخذ من سنغافورة مقراً لها لشن الهجمات.
يعتمد الكشف الأخير على النتائج السابقة التي توصلت إليها شركة الأمن السيبراني السلوفاكية ESET في أغسطس ، والتي توغلت في نشر وظيفة زائفة مماثلة لمنصة تبادل العملات المشفرة Coinbase.
كل من إعلانات الوظائف المزيفة هذه ليست سوى الأحدث في سلسلة من الهجمات التي يطلق عليها Operation In (ter) ception. والتي بدورها مكونة لحملة أوسع يتم تتبعها تحت اسم Operation Dream Job.
على الرغم من أن ناقل التوزيع الدقيق للبرامج الضارة لا يزال غير معروف. إلا أنه يُشتبه في أن الأهداف المحتملة يتم تحديدها عبر الرسائل المباشرة على موقع شبكة الأعمال LinkedIn.
تبدأ عمليات الاقتحام بنشر ملف ثنائي Mach-O ، وهو قطارة تطلق ملف PDF الذي يحتوي على قوائم الوظائف في Crypto.com. بينما في الخلفية. يحذف الحالة المحفوظة الخاصة بالوحدة الطرفية (“com.apple.Terminal. المحفوظة “).
أداة التنزيل. المشابهة أيضًا لمكتبة safarifontagent المستخدمة في سلسلة هجوم Coinbase. تعمل لاحقًا كقناة لحزمة المرحلة الثانية العارية المسماة “WifiAnalyticsServ.app”. وهي نسخة مقلدة من “FinderFontsUpdater.app.”
يتحدث الباحثان عن
قال الباحثان في SentinelOne Dinesh Devadoss و Phil Stokes: “الغرض الرئيسي من المرحلة الثانية هو استخراج وتنفيذ المرحلة الثالثة من برنامج wifianalyticsagent الثنائي”. “يعمل هذا كأداة تنزيل من خادم [القيادة والتحكم].”
الحمولة النهائية التي يتم تسليمها إلى الجهاز المخترق غير معروفة نظرًا لأن خادم C2 المسؤول عن استضافة البرامج الضارة غير متصل حاليًا. Lazarus Hackers تستهدف
هذه الهجمات ليست معزولة. لأن Lazarus Group لديها تاريخ في تنفيذ هجمات إلكترونية على blockchain ومنصات العملات المشفرة كآلية للتهرب من العقوبات. مما يمكّن الخصوم من الوصول غير المصرح به إلى شبكات المؤسسات وسرقة الأموال الرقمية.
وقال الباحثون: “لم يبذل ممثلو التهديد أي جهد لتشفير أو تعتيم أي من الثنائيات. مما قد يشير إلى حملات قصيرة المدى و / أو خوف ضئيل من اكتشاف أهدافهم”.