朝鮮APT Lazarus又玩起了老把戲，開展了針對(duì)工程師的網(wǎng)絡(luò)間諜活動(dòng)，通過發(fā)布虛假的招聘信息，試圖傳播macOS惡意軟件。該活動(dòng)中所使用的惡意的Mac可執(zhí)行文件可以同時(shí)針對(duì)蘋果和英特爾芯片系統(tǒng)進(jìn)行攻擊。

該攻擊活動(dòng)由ESET研究實(shí)驗(yàn)室的研究人員發(fā)現(xiàn)，并在周二發(fā)布的一系列推文中披露，研究人員透露，該攻擊活動(dòng)通過偽造加密貨幣交易商Coinbase的招聘信息，聲稱他們?cè)谡衅府a(chǎn)品安全工程經(jīng)理。

他們寫道，最近的攻擊活動(dòng)被稱為Operation In(ter)ception，攻擊者投放了一個(gè)經(jīng)過簽名的Mac可執(zhí)行文件，該文件偽裝成了Coinbase的招聘文件，研究人員發(fā)現(xiàn)該文件是從巴西上傳至VirusTotal平臺(tái)。

其中一條推文稱，該惡意軟件是特地為英特爾和蘋果編譯的，它投放了三個(gè)文件，一個(gè)是誘餌PDF文件Coinbase_online_careers_2022_07.pdf，一個(gè)捆綁文件http[://]FinderFontsUpdater[.]app和一個(gè)下載器safarifontagent。

與以前的惡意軟件的相似之處

研究人員說，該惡意軟件與ESET在5月份發(fā)現(xiàn)的樣本非常相似，其中也包括了一個(gè)偽裝成工作招聘的簽名可執(zhí)行文件，是特地為蘋果和英特爾編制的，并投放了一個(gè)PDF誘餌。

然而，根據(jù)其時(shí)間戳，最近的惡意軟件是在7月21日簽署的，這意味著它要么是最近才制作出來的東西，要么是以前惡意軟件的變種。研究人員說，它使用的是2022年2月頒發(fā)給一個(gè)名叫Shankey Nohria的開發(fā)者的證書，該證書于8月12日被蘋果公司撤銷。并且該應(yīng)用程序本身并沒有經(jīng)過公證。

據(jù)ESET稱，Operation In(ter)ception還有一個(gè)配套的Windows版本的惡意軟件，投放了同樣的誘餌，并于8月4日被Malwarebytes威脅情報(bào)研究員Jazi發(fā)現(xiàn)。

該攻擊活動(dòng)中使用的惡意軟件還連接到了一個(gè)與5月份發(fā)現(xiàn)的惡意軟件不同的指揮和控制（C2）基礎(chǔ)設(shè)施，https:[//]concrecapital[.]com/%user%[.]jpg，當(dāng)研究人員試圖連接到它時(shí)，它沒有回應(yīng)。

逍遙法外的Lazarus

眾所周知，朝鮮的Lazarus是目前犯罪最猖狂的APT之一，并且已經(jīng)被國(guó)際當(dāng)局盯上了，早在2019年就被美國(guó)政府制裁了。

Lazarus以針對(duì)學(xué)者、記者和各行業(yè)的專業(yè)人士--特別是國(guó)防工業(yè)來為政府收集情報(bào)和財(cái)政支持而聞名。它經(jīng)常使用與Operation In(ter)ception中觀察到的類似的欺騙技巧，試圖讓受害者打開惡意軟件的誘餌。

之前在1月份發(fā)現(xiàn)的一個(gè)攻擊活動(dòng)也是針對(duì)求職的工程師進(jìn)行攻擊，在魚叉式網(wǎng)絡(luò)釣魚活動(dòng)中向他們宣傳虛假的就業(yè)機(jī)會(huì)。這些攻擊將Windows Update作為一種攻擊載體，將GitHub作為一個(gè)C2服務(wù)器。

同時(shí)，在去年發(fā)現(xiàn)的一個(gè)類似的活動(dòng)中，Lazarus冒充國(guó)防承包商波音和通用汽車，聲稱他們?cè)趯ふ仪舐氄撸鋵?shí)就是為了傳播惡意文件。

發(fā)生的改變

然而，最近Lazarus的攻擊策略也開始變得多樣化，聯(lián)邦調(diào)查局透露，Lazarus還進(jìn)行了一些加密貨幣竊取案，其目的是為了給Jong-un政權(quán)提供更多的資金。

與此相關(guān)，美國(guó)政府對(duì)加密貨幣混合服務(wù)Tornado Cash進(jìn)行了制裁，因?yàn)樗鼛椭鶯azarus對(duì)其網(wǎng)絡(luò)犯罪活動(dòng)獲得的現(xiàn)金進(jìn)行了洗錢，他們認(rèn)為這些資金是為了資助朝鮮的導(dǎo)彈計(jì)劃。

在其瘋狂的網(wǎng)絡(luò)敲詐活動(dòng)中，Lazarus甚至還涉足了勒索軟件。5月，網(wǎng)絡(luò)安全公司Trellix的研究人員將最近出現(xiàn)的VHD勒索軟件與朝鮮APT有關(guān)。

本文翻譯自：https://threatpost.com/apt-lazarus-macos-malware/180426/如若轉(zhuǎn)載，請(qǐng)注明原文地址。