Mae Grŵp Lazarus yn hacwyr Gogledd Corea sydd bellach yn anfon digymell a swyddi crypto ffug wedi'u targedu tuag at system weithredu macOS Apple. Mae'r grŵp hacwyr wedi defnyddio meddalwedd maleisus sy'n cynnal yr ymosodiad.
Mae'r cwmni seiberddiogelwch SentinelOne yn craffu ar yr amrywiad diweddaraf hwn o'r ymgyrch.
Darganfu'r cwmni cybersecurity fod y grŵp haciwr yn defnyddio dogfennau decoy ar gyfer swyddi hysbysebu ar gyfer y platfform cyfnewid arian cyfred digidol yn Singapôr o'r enw Crypto.com ac mae'n cynnal yr haciau yn unol â hynny.
Gelwir yr amrywiad diweddaraf o'r ymgyrch hacio yn “Operation In(ter)ception". Yn ôl y sôn, mae'r ymgyrch gwe-rwydo yn targedu defnyddwyr Mac yn unig o bell ffordd.
Canfuwyd bod y malware a ddefnyddir ar gyfer yr haciau yn union yr un fath â'r rhai a ddefnyddir mewn postiadau swyddi ffug Coinbase.
Y mis diwethaf, arsylwodd a darganfu ymchwilwyr fod Lasarus wedi defnyddio agoriadau swyddi ffug Coinbase i dwyllo defnyddwyr macOS yn unig i lawrlwytho meddalwedd maleisus.
Sut y Cynhaliodd y Grŵp Haciadau Ar Lwyfan Crypto.com
Mae hwn wedi cael ei ystyried yn hac cerddorfaol. Mae'r hacwyr hyn wedi cuddio malware fel postiadau swyddi o gyfnewidfeydd crypto poblogaidd.
Gwneir hyn trwy ddefnyddio dogfennau PDF sydd wedi'u cynllunio'n dda ac sy'n ymddangos yn gyfreithlon sy'n arddangos swyddi gwag hysbysebu ar gyfer swyddi amrywiol, fel Cyfarwyddwr Celf - Concept Art (NFT) yn Singapore.
Yn ôl adroddiad gan SentinelOne, roedd y denu swyddi crypto newydd hwn yn cynnwys targedu dioddefwyr eraill trwy gysylltu â nhw ar negeseuon LinkedIn gan Lazarus.
Wrth ddarparu manylion ychwanegol am yr ymgyrch haciwr, dywedodd SentinelOne,
Er nad yw'n glir ar hyn o bryd sut mae'r malware yn cael ei ddosbarthu, roedd adroddiadau cynharach yn awgrymu bod actorion bygythiad yn denu dioddefwyr trwy negeseuon wedi'u targedu ar LinkedIn.
Mae'r ddau hysbyseb swydd ffug hyn yn ddim ond y diweddaraf mewn llu o ymosodiadau a elwir yn Operation In(ter)ception, ac sydd yn ei dro yn rhan o ymgyrch ehangach sy'n dod o dan yr ymgyrch hacio ehangach o'r enw Operation Dream Job.
Darllen Cysylltiedig: Partneriaid STEPN Gyda'r Bloc Rhoi I Alluogi Rhoddion Crypto Ar Gyfer Di-elw
Llai o Eglurder Ar Sut Mae'r Malware Yn Cael ei Ddosbarthu
Soniodd y cwmni diogelwch a edrychodd ar hyn ei bod yn dal yn aneglur sut mae'r malware yn cael ei ddosbarthu.
O ystyried y manylion technegol, dywedodd SentinelOne mai deuaidd Mach-O yw'r dropper cam cyntaf, sydd yr un fath â deuaidd templed sydd wedi'i ddefnyddio yn yr amrywiad Coinbase.
Mae'r cam cyntaf yn cynnwys creu ffolder newydd yn llyfrgell y defnyddiwr sy'n gollwng asiant dyfalbarhad.
Prif bwrpas yr ail gam yw echdynnu a gweithredu'r deuaidd trydydd cam, sy'n gweithredu fel lawrlwythwr o'r gweinydd C2.
Darllenodd yr ymgynghorydd,
Nid yw'r actorion bygythiad wedi gwneud unrhyw ymdrech i amgryptio neu guddio unrhyw un o'r deuaidd, gan nodi o bosibl ymgyrchoedd tymor byr a / neu fawr ddim ofn o gael eu canfod gan eu targedau.
Soniodd SentinelOne hefyd ei bod yn ymddangos bod Operation In(ter)ception hefyd yn ymestyn y targedau gan ddefnyddwyr llwyfannau cyfnewid crypto i’w gweithwyr, gan ei bod yn edrych fel “beth allai fod yn ymdrech gyfunol i gynnal ysbïo a lladrad arian cyfred digidol.”
Ffynhonnell: https://bitcoinist.com/lazarus-hacker-group-targets-macos-crypto-jobs/