与朝鲜有联系的Lazarus继续通过macOS恶意软件瞄准求职者

上周，SentinelOne的研究人员发现了一个针对热门加密货币交易所Crypto . com投放广告的诱饵文档。

SentinelOne的调查是基于ESET在8月份进行的一次调查结果，当时观察到Lazarus APT针对的是在英特尔和M1芯片组上有macOS恶意软件的求职者。

ESET发布了一系列的推文，详细说明了这些攻击，专家们发现了一个已签署的Mac可执行文件，其伪装成比特币基地的工作描述。

恶意代码于2022年8月11日上传到巴西的VirusTotal。

自2020年以来，Lazarus  APT已经在多个活动中使用了这种诱饵，其中包括一个名为”梦想工作”的活动。

研究人员没有恶意软件分布的证据，但早期关于操作In(ter)ception的报告表明，攻击者者最初通过LinkedIn上的目标信息与受害者建立联系。

最新攻击中使用的第一阶段是一个Mach – O二进制，与比特币基地攻击中使用的safarifontsagent二进制类似。

拖放程序启动诱饵PDF文件，一个包含Crypto.com上所有空缺的26页文档，并擦除终端当前保存的State ( ‘ com.apple.Terminal.savedState ‘)。

  Crypto . com变体中的第二阶段是一个名为” WifiAnalyticsServ.app “的裸骨应用程序包，它反映了比特币基地活动中使用的相同架构。

第二阶段的主要目的是提取并执行第三阶段的二进制wifianalysissagent。这个函数作为C2服务器的下载器。比特币基地变体使用的域名为concrecapital [ . ] com，”读取SentinelOne发布的分析”。在Crypto.com示例中，这已更改为market.contradecapital [ . ] com。

专家们无法确定最后阶段的有效作用，因为负责托管恶意软件的C2服务器在分析时离线。

专家们指出，攻击者没有努力对袭击中使用的二进制文件进行加密或混淆，这种情况表明攻击者在进行短期活动时几乎不担心目标被发现。

  “Lazarus(又名”核武器” )继续攻击参与加密货币交易的个人。他们一直这样做，最早可以追溯到2018年开始的AppleJeus运动。”最新活动似乎正在将目标从加密交易平台的用户扩大到他们的雇员，可能在试图联合间谍活动和加密货币盗窃。