WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Hacker Triều tiên dùng mã độc macOS tấn công người tìm việc trong lĩnh vực IT
Hacker Triều Tiên thuộc nhóm Lazarus đã sử dụng một tệp thực thi độc hại có chữ ký cho macOS để mạo danh Coinbase và thu hút nhân viên trong lĩnh vực công nghệ tài chính.
Trước đây, Lazarus sử dụng các thư mời làm việc giả mạo. Trong chiến dịch lần này, nhóm dùng phần mềm độc hại được ngụy trang dưới dạng tệp PDF với thông tin chi tiết về một vị trí tại Coinbase.
Các nhà nghiên cứu phát hiện hacker đã chuẩn bị sẵn mã độc cho hệ thống macOS. Tệp độc hại được biên dịch cho các máy Mac sử dụng silion của Intel và Apple, có nghĩa là người dùng của mẫu máy cũ và mới đều bị nhắm mục tiêu.
Một chiến dịch tương tự nhắm mục tiêu người dùng macOS và do Lazarus đã được xác định vào năm ngoái. Nhóm dựa trên cùng một kỹ thuật tấn công social engineering giả mạo thư mời làm việc nhưng sử dụng một tệp PDF khác.
ESET đã liên kết phần mềm độc hại macOS gần đây với Chiến dịch In(ter)ception, một chiến dịch của Lazarus nhắm mục tiêu vào các tổ chức hàng không và quân sự nổi tiếng.
Xem xét phần mềm độc hại macOS, các nhà nghiên cứu nhận thấy mã độc đã được ký vào ngày 21 tháng 7 (theo giá trị dấu thời gian) với chứng chỉ được cấp vào tháng 2 cho một nhà phát triển sử dụng tên Shankey Nohria và số nhận dạng nhóm 264HFWQH63.
Vào ngày 12 tháng 8, chứng chỉ vẫn chưa bị Apple thu hồi. Tuy nhiên, ứng dụng độc hại đã không được công chứng - một quy trình tự động mà Apple sử dụng để kiểm tra phần mềm tìm các thành phần độc hại.
So với phần mềm độc hại macOS trước đây được quy cho nhóm tin tặc Lazarus, các nhà nghiên cứu của ESET đã quan sát thấy rằng thành phần trình tải xuống kết nối với một máy C2 khác. Máy chủ này không còn phản hồi vào thời điểm phân tích.
Các nhóm hacker của Triều Tiên từ lâu đã có liên quan đến các vụ hack tiền điện tử cũng như sử dụng các lời mời làm việc giả mạo trong các chiến dịch lừa đảo nhằm lây nhiễm các mục tiêu quan tâm.
Trước đây, Lazarus sử dụng các thư mời làm việc giả mạo. Trong chiến dịch lần này, nhóm dùng phần mềm độc hại được ngụy trang dưới dạng tệp PDF với thông tin chi tiết về một vị trí tại Coinbase.
Các nhà nghiên cứu phát hiện hacker đã chuẩn bị sẵn mã độc cho hệ thống macOS. Tệp độc hại được biên dịch cho các máy Mac sử dụng silion của Intel và Apple, có nghĩa là người dùng của mẫu máy cũ và mới đều bị nhắm mục tiêu.
Một chiến dịch tương tự nhắm mục tiêu người dùng macOS và do Lazarus đã được xác định vào năm ngoái. Nhóm dựa trên cùng một kỹ thuật tấn công social engineering giả mạo thư mời làm việc nhưng sử dụng một tệp PDF khác.
ESET đã liên kết phần mềm độc hại macOS gần đây với Chiến dịch In(ter)ception, một chiến dịch của Lazarus nhắm mục tiêu vào các tổ chức hàng không và quân sự nổi tiếng.
Xem xét phần mềm độc hại macOS, các nhà nghiên cứu nhận thấy mã độc đã được ký vào ngày 21 tháng 7 (theo giá trị dấu thời gian) với chứng chỉ được cấp vào tháng 2 cho một nhà phát triển sử dụng tên Shankey Nohria và số nhận dạng nhóm 264HFWQH63.
Vào ngày 12 tháng 8, chứng chỉ vẫn chưa bị Apple thu hồi. Tuy nhiên, ứng dụng độc hại đã không được công chứng - một quy trình tự động mà Apple sử dụng để kiểm tra phần mềm tìm các thành phần độc hại.
So với phần mềm độc hại macOS trước đây được quy cho nhóm tin tặc Lazarus, các nhà nghiên cứu của ESET đã quan sát thấy rằng thành phần trình tải xuống kết nối với một máy C2 khác. Máy chủ này không còn phản hồi vào thời điểm phân tích.
Các nhóm hacker của Triều Tiên từ lâu đã có liên quan đến các vụ hack tiền điện tử cũng như sử dụng các lời mời làm việc giả mạo trong các chiến dịch lừa đảo nhằm lây nhiễm các mục tiêu quan tâm.
Theo: Bleeping Computer