北朝鮮のサイバー軍Lazarusが求職者をターゲットに
北朝鮮のサイバー軍と名高いLazarus(ラザルス)グループは、雇用機会をおびき寄せるマルウェアキャンペーンで、新たにmacOSマルウェアで求職者を標的にし続けおり、被害者のウォレットの資格情報を盗むことを目的としていることが新たに判明した。
#ESETresearch #BREAKING A signed Mac executable disguised as a job description for Coinbase was uploaded to VirusTotal from Brazil 🇧🇷. This is an instance of Operation In(ter)ception by #Lazarus for Mac. @pkalnai @dbreitenbacher 1/7 pic.twitter.com/dXg89el5VT
— ESET research (@ESETresearch) August 16, 2022
Coinbaseの職務内容を装った署名付きのMac実行可能ファイルが、ブラジルから VirusTotalにアップロードされました。これは、Lazarus for MacによるOperation Interceptionのインスタンスです。
先週、米国のサイバーセキュリティ企業SentinelOneの研究者は、仮想通貨取引所Crypto.comのポジションを宣伝するおとり文書を発見。同社による調査は、8月にウイルス対策のESETセキュリティソリューションであるESETが実施した以前の調査に基づいているとのこと。
IntelやmacOSマルウェアで求職者を標的にしているLazarus
Lazarusは、半導体素子メーカーのIntelおよび M1チップセットでも動作するmacOSマルウェアで求職者を標的にしていることが確認された。
ESETは攻撃の詳細を記した一連のツイートを公開。専門家は、Coinbaseの職務内容を装った署名付きのMac実行可能ファイルを発見しており、悪意のあるコードは、2022年8月11日にブラジルからVirusTotalにアップロードされた。Lazarusは、「Operation Dream Job(オペレーション ドリーム ジョブ)」と呼ばれるキャンペーンを含め、少なくとも2020年以降、複数のキャンペーンでこの種のルアーを使用している。
LazarusはLinkedInでターゲットを絞り被害者との接触を確立
研究者は、マルウェアがどのように配布されているかについての証拠を持っていないものの、Operation In(ter)ception に関する以前のレポートは、攻撃者が最初にLinkedInにてターゲットを絞ったメッセージを介して被害者との接触を確立したことを示唆している。
専門家は、マルウェアをホストする C2 サーバーが分析時にオフラインだったため、最終段階のペイロードを特定できなかったという。攻撃者が攻撃に使用したバイナリを暗号化または難読化する努力をしていないことを指摘し、攻撃者が短期間のキャンペーンを実行していたこと、標的による検出をほとんど恐れていなかったことを示唆しており、調査レポートは次のように締めくくられている。
Lazarusは、仮想通貨取引きに携わる個人を標的にし続けています。これは、2018年に始まったAppleJeusキャンペーンにまでさかのぼる長期にわたるテーマでした。Operation Interceptionは、ターゲットを仮想通貨取引所のユーザーからその従業員にまで拡大しているようです。スパイ活動と仮想通貨の盗難の両方を実行します。
