朝鮮APT Lazarus又玩起了老把戲，開展了針對工程師的網(wǎng)絡間諜活動，通過發(fā)布虛假的招聘信息，試圖傳播macOS惡意軟件。該活動中所使用的惡意的Mac可執(zhí)行文件可以同時針對蘋果和英特爾芯片系統(tǒng)進行攻擊。

該攻擊活動由ESET研究實驗室的研究人員發(fā)現(xiàn)，并在周二發(fā)布的一系列推文中披露，研究人員透露，該攻擊活動通過偽造加密貨幣交易商Coinbase的招聘信息，聲稱他們在招聘產品安全工程經(jīng)理。

他們寫道，最近的攻擊活動被稱為Operation In(ter)ception，攻擊者投放了一個經(jīng)過簽名的Mac可執(zhí)行文件，該文件偽裝成了Coinbase的招聘文件，研究人員發(fā)現(xiàn)該文件是從巴西上傳至VirusTotal平臺。

其中一條推文稱，該惡意軟件是特地為英特爾和蘋果編譯的，它投放了三個文件，一個是誘餌PDF文件Coinbase_online_careers_2022_07.pdf，一個捆綁文件http[://]FinderFontsUpdater[.]app和一個下載器safarifontagent。

與以前的惡意軟件的相似之處

研究人員說，該惡意軟件與ESET在5月份發(fā)現(xiàn)的樣本非常相似，其中也包括了一個偽裝成工作招聘的簽名可執(zhí)行文件，是特地為蘋果和英特爾編制的，并投放了一個PDF誘餌。

然而，根據(jù)其時間戳，最近的惡意軟件是在7月21日簽署的，這意味著它要么是最近才制作出來的東西，要么是以前惡意軟件的變種。研究人員說，它使用的是2022年2月頒發(fā)給一個名叫Shankey Nohria的開發(fā)者的證書，該證書于8月12日被蘋果公司撤銷。并且該應用程序本身并沒有經(jīng)過公證。

據(jù)ESET稱，Operation In(ter)ception還有一個配套的Windows版本的惡意軟件，投放了同樣的誘餌，并于8月4日被Malwarebytes威脅情報研究員Jazi發(fā)現(xiàn)。

該攻擊活動中使用的惡意軟件還連接到了一個與5月份發(fā)現(xiàn)的惡意軟件不同的指揮和控制（C2）基礎設施，https:[//]concrecapital[.]com/%user%[.]jpg，當研究人員試圖連接到它時，它沒有回應。

逍遙法外的Lazarus

眾所周知，朝鮮的Lazarus是目前犯罪最猖狂的APT之一，并且已經(jīng)被國際當局盯上了，早在2019年就被美國政府制裁了。

Lazarus以針對學者、記者和各行業(yè)的專業(yè)人士--特別是國防工業(yè)來為政府收集情報和財政支持而聞名。它經(jīng)常使用與Operation In(ter)ception中觀察到的類似的欺騙技巧，試圖讓受害者打開惡意軟件的誘餌。

之前在1月份發(fā)現(xiàn)的一個攻擊活動也是針對求職的工程師進行攻擊，在魚叉式網(wǎng)絡釣魚活動中向他們宣傳虛假的就業(yè)機會。這些攻擊將Windows Update作為一種攻擊載體，將GitHub作為一個C2服務器。

同時，在去年發(fā)現(xiàn)的一個類似的活動中，Lazarus冒充國防承包商波音和通用汽車，聲稱他們在尋找求職者，其實就是為了傳播惡意文件。

發(fā)生的改變

然而，最近Lazarus的攻擊策略也開始變得多樣化，聯(lián)邦調查局透露，Lazarus還進行了一些加密貨幣竊取案，其目的是為了給Jong-un政權提供更多的資金。

與此相關，美國政府對加密貨幣混合服務Tornado Cash進行了制裁，因為它幫助Lazarus對其網(wǎng)絡犯罪活動獲得的現(xiàn)金進行了洗錢，他們認為這些資金是為了資助朝鮮的導彈計劃。

在其瘋狂的網(wǎng)絡敲詐活動中，Lazarus甚至還涉足了勒索軟件。5月，網(wǎng)絡安全公司Trellix的研究人員將最近出現(xiàn)的VHD勒索軟件與朝鮮APT有關。

本文翻譯自：https://threatpost.com/apt-lazarus-macos-malware/180426/如若轉載，請注明原文地址。