Kötü şöhretli Lazarus Group, Apple’ın macOS işletim sistemini hedef alan kötü amaçlı yazılımları dağıtmak için istenmeyen iş fırsatlarından yararlanma modelini sürdürdü.
Siber güvenlik şirketi SentinelOne tarafından geçen hafta gözlemlenen kampanyanın en son çeşidinde, Singapur merkezli kripto para borsası şirketi Crypto.com’un reklam pozisyonlarını sahte belgelerle belgeliyor.
En son açıklama, Slovak siber güvenlik firması ESET’in Ağustos ayında Coinbase kripto para birimi değişim platformu için benzer bir sahte iş ilanına ilişkin önceki bulgularına dayanıyor.
Bu sahte iş ilanlarının her ikisi de Operation In(ter)ception olarak adlandırılan bir dizi saldırının en sonuncusu ve bu da, Operation Dream Job adı altında izlenen daha geniş bir kampanyanın parçası.
Kötü amaçlı yazılımın tam dağıtım vektörü bilinmemekle birlikte, iş ağı sitesi LinkedIn’deki doğrudan mesajlar yoluyla potansiyel hedeflerin seçildiğinden şüpheleniliyor.
İzinsiz girişler, bir Mach-O ikili dosyasının konuşlandırılmasıyla başlar. damlalık bu, Crypto.com’daki iş listelerini içeren sahte PDF belgesini başlatırken, arka planda Terminal’in kaydedilmiş durum (“com.apple.Terminal.savedState”).
İndirici, aynı zamanda Coinbase saldırı zincirinde kullanılan safarifontagent kitaplığına benzer şekilde, daha sonra “FinderFontsUpdater.app”ın bir kopyası olan “WifiAnalyticsServ.app” adlı bir ikinci aşama paketi için bir kanal görevi görür.
SentinelOne araştırmacıları Dinesh Devadoss ve Phil Stokes, “İkinci aşamanın temel amacı, üçüncü aşama ikili, wifianalyticsagent’ı çıkarmak ve yürütmektir.” söz konusu. “Bu, bir [command-and-control] sunucu.”
Kötü amaçlı yazılımı barındırmaktan sorumlu C2 sunucusunun şu anda çevrimdışı olması nedeniyle, güvenliği ihlal edilmiş makineye teslim edilen son yük bilinmiyor.
Bu saldırılar münferit değildir, çünkü Lazarus Grubu, yaptırımlardan kaçma mekanizması olarak blok zinciri ve kripto para platformlarında siber saldırılar gerçekleştirme geçmişine sahiptir, bu da rakiplerin kurumsal ağlara yetkisiz erişim elde etmesine ve dijital fonları çalmasına olanak tanır.
Araştırmacılar, “Tehdit aktörleri, muhtemelen kısa vadeli kampanyaları ve / veya hedefleri tarafından çok az tespit edilme korkusunu gösteren ikili dosyaları şifrelemek veya gizlemek için hiçbir çaba göstermedi” dedi.