朝鮮APT Lazarus又玩起了老把戲，開(kāi)展了針對(duì)工程師的網(wǎng)絡(luò)間諜活動(dòng)，通過(guò)發(fā)布虛假的招聘信息，試圖傳播macOS惡意軟件。該活動(dòng)中所使用的惡意的Mac可執(zhí)行文件可以同時(shí)針對(duì)蘋(píng)果和英特爾芯片系統(tǒng)進(jìn)行攻擊。

該攻擊活動(dòng)由ESET研究實(shí)驗(yàn)室的研究人員發(fā)現(xiàn)，并在周二發(fā)布的一系列推文中披露，研究人員透露，該攻擊活動(dòng)通過(guò)偽造加密貨幣交易商Coinbase的招聘信息，聲稱(chēng)他們?cè)谡衅府a(chǎn)品安全工程經(jīng)理。

他們寫(xiě)道，最近的攻擊活動(dòng)被稱(chēng)為Operation In(ter)ception，攻擊者投放了一個(gè)經(jīng)過(guò)簽名的Mac可執(zhí)行文件，該文件偽裝成了Coinbase的招聘文件，研究人員發(fā)現(xiàn)該文件是從巴西上傳至VirusTotal平臺(tái)。

其中一條推文稱(chēng)，該惡意軟件是特地為英特爾和蘋(píng)果編譯的，它投放了三個(gè)文件，一個(gè)是誘餌PDF文件Coinbase_online_careers_2022_07.pdf，一個(gè)捆綁文件http[://]FinderFontsUpdater[.]app和一個(gè)下載器safarifontagent。

與以前的惡意軟件的相似之處

研究人員說(shuō)，該惡意軟件與ESET在5月份發(fā)現(xiàn)的樣本非常相似，其中也包括了一個(gè)偽裝成工作招聘的簽名可執(zhí)行文件，是特地為蘋(píng)果和英特爾編制的，并投放了一個(gè)PDF誘餌。

然而，根據(jù)其時(shí)間戳，最近的惡意軟件是在7月21日簽署的，這意味著它要么是最近才制作出來(lái)的東西，要么是以前惡意軟件的變種。研究人員說(shuō)，它使用的是2022年2月頒發(fā)給一個(gè)名叫Shankey Nohria的開(kāi)發(fā)者的證書(shū)，該證書(shū)于8月12日被蘋(píng)果公司撤銷(xiāo)。并且該應(yīng)用程序本身并沒(méi)有經(jīng)過(guò)公證。

據(jù)ESET稱(chēng)，Operation In(ter)ception還有一個(gè)配套的Windows版本的惡意軟件，投放了同樣的誘餌，并于8月4日被Malwarebytes威脅情報(bào)研究員Jazi發(fā)現(xiàn)。

該攻擊活動(dòng)中使用的惡意軟件還連接到了一個(gè)與5月份發(fā)現(xiàn)的惡意軟件不同的指揮和控制（C2）基礎(chǔ)設(shè)施，https:[//]concrecapital[.]com/%user%[.]jpg，當(dāng)研究人員試圖連接到它時(shí)，它沒(méi)有回應(yīng)。

逍遙法外的Lazarus

眾所周知，朝鮮的Lazarus是目前犯罪最猖狂的APT之一，并且已經(jīng)被國(guó)際當(dāng)局盯上了，早在2019年就被美國(guó)政府制裁了。

Lazarus以針對(duì)學(xué)者、記者和各行業(yè)的專(zhuān)業(yè)人士--特別是國(guó)防工業(yè)來(lái)為政府收集情報(bào)和財(cái)政支持而聞名。它經(jīng)常使用與Operation In(ter)ception中觀(guān)察到的類(lèi)似的欺騙技巧，試圖讓受害者打開(kāi)惡意軟件的誘餌。

之前在1月份發(fā)現(xiàn)的一個(gè)攻擊活動(dòng)也是針對(duì)求職的工程師進(jìn)行攻擊，在魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)活動(dòng)中向他們宣傳虛假的就業(yè)機(jī)會(huì)。這些攻擊將Windows Update作為一種攻擊載體，將GitHub作為一個(gè)C2服務(wù)器。

同時(shí)，在去年發(fā)現(xiàn)的一個(gè)類(lèi)似的活動(dòng)中，Lazarus冒充國(guó)防承包商波音和通用汽車(chē)，聲稱(chēng)他們?cè)趯ふ仪舐氄?，其?shí)就是為了傳播惡意文件。

發(fā)生的改變

然而，最近Lazarus的攻擊策略也開(kāi)始變得多樣化，聯(lián)邦調(diào)查局透露，Lazarus還進(jìn)行了一些加密貨幣竊取案，其目的是為了給Jong-un政權(quán)提供更多的資金。

與此相關(guān)，美國(guó)政府對(duì)加密貨幣混合服務(wù)Tornado Cash進(jìn)行了制裁，因?yàn)樗鼛椭鶯azarus對(duì)其網(wǎng)絡(luò)犯罪活動(dòng)獲得的現(xiàn)金進(jìn)行了洗錢(qián)，他們認(rèn)為這些資金是為了資助朝鮮的導(dǎo)彈計(jì)劃。

在其瘋狂的網(wǎng)絡(luò)敲詐活動(dòng)中，Lazarus甚至還涉足了勒索軟件。5月，網(wǎng)絡(luò)安全公司Trellix的研究人員將最近出現(xiàn)的VHD勒索軟件與朝鮮APT有關(guān)。

本文翻譯自：https://threatpost.com/apt-lazarus-macos-malware/180426/如若轉(zhuǎn)載，請(qǐng)注明原文地址。