Nhóm Hacker Lazarus (Triều Tiên) đang tiếp tục mở rộng chiến dịch tấn công vào nhóm người dùng MacOS bằng cách tạo ra các tin tuyển dụng việc làm, các tin nhắn trao đổi với mức lương và chế độ đãi ngộ hấp dẫn trên nền tảng Linkedin. Những file tài liệu PDF độc hại được gửi tới nạn nhân, nhiều người trong số họ bị virus của nhóm này xâm nhập, đánh cắp thông tin mật khẩu và các ví tiền ảo.

Theo báo cáo vào tuần trước từ SentinelOne, họ quan sát thấy rằng chiến dịch tấn công này đã cung cấp các tài liệu giả mạo để liệt kê các cơ hội việc làm tại sàn giao dịch tiền điện tử Crypto.com ( có ​​trụ sở tại Singapore).

Tiết lộ mới nhất được xây dựng dựa trên những phát hiện trước đó từ công ty an ninh mạng ESET của Slovakia vào tháng 8, công ty này đã đào sâu vào một tin tuyển dụng giả mạo tương tự cho nền tảng trao đổi tiền điện tử Coinbase.

Cả hai quảng cáo việc làm giả mạo này chỉ là cuộc tấn công mới nhất trong một loạt các cuộc tấn công có tên là Operation In (ter) ception , đến lượt nó, là một phần của một chiến dịch rộng lớn hơn được theo dõi dưới tên Operation Dream Job .

Mặc dù vectơ phân phối chính xác của phần mềm độc hại vẫn chưa được xác định, người ta nghi ngờ rằng các mục tiêu tiềm năng được chỉ ra thông qua tin nhắn trực tiếp trên trang mạng kinh doanh LinkedIn.

Tin tặc Bắc Triều Tiên

Các cuộc xâm nhập bắt đầu bằng việc triển khai tệp Mach-O binary được khởi chạy trong tài liệu PDF với mồi nhử chứa danh sách việc làm tại Crypto.com, trong khi ở chế độ nền, nó xóa trạng thái đã lưu của Terminal (“com.apple.Terminal. SaveState ”).

Trình tải xuống, cũng tương tự như thư viện safarifontagent được sử dụng trong chuỗi tấn công Coinbase, sau đó hoạt động như một đường dẫn cho một gói giai đoạn hai đơn giản có tên “WifiAnalyticsServ.app”, là phiên bản sao chép của “FinderFontsUpdater.app.”

Các nhà nghiên cứu Dinesh Devadoss và Phil Stokes của SentinelOne cho biết: “Mục đích chính của giai đoạn thứ hai là trích xuất và thực thi binary giai đoạn ba, wifianalyticsagent” . “Chức năng này hoạt động như một trình tải xuống từ máy chủ [command-and-control].”

Trọng tải cuối cùng được phân phối đến máy bị xâm phạm là không xác định do máy chủ C2 chịu trách nhiệm lưu trữ phần mềm độc hại hiện đang ngoại tuyến.

Đây không phải là lần đầu xảy ra các cuộc tấn công này vì Lazarus Group có lịch sử thực hiện các cuộc tấn công mạng trên các nền tảng blockchain và ví tiền điện tử như một cơ chế trốn tránh lệnh trừng phạt, cho phép kẻ thù truy cập trái phép vào mạng doanh nghiệp và ăn cắp tiền kỹ thuật số.

Các nhà nghiên cứu cho biết: “Các tác nhân đe dọa đã không cố gắng mã hóa hoặc làm xáo trộn bất kỳ mã nhị phân nào, có thể chỉ ra các chiến dịch ngắn hạn và / hoặc ít sợ mục tiêu bị phát hiện”.

Mặc dù chưa xác định được phần mềm độc hại macOS có trong các nguồn mở nhưng hiện tại Mandiant đã có báo cáo rộng rãi về chiến dịch Operation Dream Job đang được thực hiện bởi TEMP của Triều Tiên-nexus. Các tác nhân độc hại đã được quan sát bằng cách sử dụng các chiến thuật và kỹ thuật tương tự để phân phối phần mềm độc hại CUTELOOP đến cơ sở công nghiệp quốc phòng bằng các tài liệu thu hút theo chủ đề công việc. Ngoài ra, Mandiant xác định một mẫu chứa mẫu trình tải xuống QUESTDOWN cố gắng ẩn dưới dạng một plugin Notepad ++. Mandiant hiện đang theo dõi phần mềm độc hại này và được ghi nhận trong báo cáo của họ.

_____________________

VNCS Global là đối tác cung cấp dịch vụ của Mandiant tại Việt Nam
☎️Điện thoại: (+84) 923618585
📩Email: sales@vncsglobal.vn
🌐Website: https://vncsglobal.vn