En ny social engineering-kampagne fra den berygtede nordkoreanske Lazarus-hackinggruppe er blevet opdaget, med hackerne, der efterligner Coinbase for at målrette mod medarbejdere i fintech-branchen.
En almindelig taktik, som hackinggruppen bruger, er at nærme sig mål over LinkedIn for at præsentere et jobtilbud og holde en foreløbig diskussion som en del af et social engineering-angreb.
Ifølge Hossein Jazi, en sikkerhedsanalytiker hos Malwarebytes, der har fulgt Lazarus-aktiviteten tæt siden februar 2022, trusselsaktørerne foregiver nu at være fra Coinbase, målrettet mod kandidater, der er egnede til rollen som “Engineering Manager, Product Security.”
Coinbase er en af verdens største platforme til udveksling af kryptokurrency, hvilket gør det muligt for Lazarus at lægge grunden til et lukrativt og lokkende jobtilbud hos en prestigefyldt organisation.
Når ofre downloader, hvad de mener at være en PDF om jobpositionen, får de faktisk en ondsindet eksekverbar ved hjælp af et PDF-ikon. I dette tilfælde, filen hedder “Coinbase_online_careers_2022_07.exe” som viser decoy PDF-dokumentet vist nedenfor, når det udføres, mens du også indlæser en ondsindet DLL.
GitHub som en kommando
Når henrettet, malware vil bruge GitHub som en kommando og kontrolserver til at modtage kommandoer til at udføre på den inficerede enhed.
Denne angrebskæde ligner en, der er dokumenteret af Malwarebytes i et blogindlæg i starten af året.
Jazi fortalte Bleeping Computer, at Lazarus følger lignende taktikker og metoder til at inficere deres mål med malware, og de enkelte phishing-kampagner har infrastrukturoverlapninger.
Andre kampagner udført af Lazarus i fortiden ved hjælp af falske jobtilbud var for General Dynamics og Lockheed Martin.
Lazarus hackere rettet mod krypto
Statsstøttede nordkoreanske hackinggrupper er kendt for at lancere økonomisk motiverede angreb mod banker, kryptokurrencyudvekslinger, NFT-markedspladser, og individuelle investorer med betydelige beholdninger.
Tidligere på året advarede amerikanske efterretningstjenester om, at Lazarus spredte trojaniserede kryptovaluta-tegnebøger og investeringsapps, der stjæler folks private nøgler og sifonerer deres beholdninger.
I april forbandt det amerikanske finansministerium og FBI stjålet kryptovaluta fra det blockchain-baserede spil Axie Infinity til Lazarus og holdt dem ansvarlige for at stjæle for over 4,5 mia. Dkr. værd af Ethereum- og USDC-tokens.
Som afsløret senere, i juli, blev Axie Infinity-hacket muliggjort takket være en snøret PDF-fil, der angiveligt indeholdt detaljerne i et lukrativt jobtilbud sendt til en af blockchains ingeniører.
Åbning af filen inficerede ingeniørens computer, hvilket gjorde det muligt for Lazarus at hæve deres privilegier og bevæge sig sideværts i firmaets netværk, til sidst lokalisere en sårbarhed i Ronin Bridge og udløse en udnyttelse.
Den samme type angreb er sandsynligvis, hvad Lazarus håber at opnå i den seneste Coinbase-lokkede kampagne, da det kun ville tage en enkelt person i et firma at åbne PDF’en og gøre det muligt for hackerne at få indledende adgang til virksomhedens netværk.
Kilde: BleepingComputers
Foto: Pexels