與朝鮮拉撒路集團有關的網絡犯罪分子已經在加密貨幣和技術領域推出了針對專業人士的欺騙性LinkedIn騙局。他們作為招聘人員偽裝,他們提供了虛假的工作機會,以欺騙受害者下載竊取證書,財務信息和數字資產的惡意軟件。
bitdefender研究人員在黑客錯誤地將欺詐性的工作提供給一個欺詐性的工作後,發現了該計劃在他們自己的網絡安全專家中,該公司可以分析攻擊的多階段感染鏈。
惡意軟件設計用於在Windows,MacOS和Linux上運行的惡意軟件,可以竊取存儲的瀏覽器憑據,劫持加密貨幣交易並維護長期系統訪問。
對求職者的網絡釣魚攻擊並不是什麼新鮮事物,這項運動是在專業網絡上的發展趨勢:專業網絡的趨勢:專業的網絡趨勢:攻擊向量。它還連接到以前拉撒路運營的更廣泛的模式。
一個虛假的工作優惠,導致全系統妥協
攻擊始於看似普通的LinkedIn招聘人員的消息在加密初創公司或金融技術公司中發揮作用。受害者表示興趣後,攻擊者會要求簡歷或候選人的GitHub個人資料的鏈接。
來源:BitDefender
建立信譽後,招聘人員提供了一個鏈接到GitHub存儲庫,其中包含該公司項目的“最低可行產品”(MVP)。
感染不會在初始憑證盜竊案中停止。 mlip.py :監視剪貼板活動,並用攻擊者控制的錢包地址替換複製的加密貨幣地址。
– pay.py.py:掃描財務文檔,環境的系統變量和私鑰在將它們刪除到命令和控制服務器之前。
– bow.py:從流行的瀏覽器,例如Chrome,Brave和Edge。
確保長期持久性,基於. NET的單獨的有效負載禁用Microsoft Defender,改變安全設置並建立一個加密的C2 Communication Channel。
這次攻擊的技術複雜性類似於Lazarus Group的先前利用,在那裡他們使用Windows零日漏洞來禁用安全工具並維護對企業系統的秘密訪問。
linkedin和github:網絡犯罪分子的新狩獵場
針對LinkedIn的專業人士的社會工程攻擊一直在增加,因為網絡犯罪分子認識到求職者更有可能打開鏈接並從受信任的來源中執行代碼。尤其是拉撒路集團(Lazarus Group),已反複利用專業網絡平台進行公司間諜活動和財務欺詐。
該集團先前通過另一個通過朝鮮相關的黑客黑客黑客黑客blueenoroff與對加密貨幣公司的攻擊有關。在該活動中,黑客欺騙了金融專業人士,以開放偽裝成投資報告的惡意文件。
拉撒路還將Github作為惡意軟件分銷向量。通過在GitHub存儲庫上舉辦惡意有效載荷,攻擊者繞過了傳統的基於電子郵件的網絡釣魚檢測系統。這種方法使他們能夠通過軟件工程師固有信任的平台分發惡意軟件。
越來越多地依賴基於雲的協作工具使這些平台變得特別脆弱。 in> in> 2022年,安全研究人員發現了一個單獨的Lazarus活動,其中使用Windows更新來提供惡意軟件,進一步證明了該小組以邪惡目的利用合法系統的能力。
為什麼Lazarus Group繼續瞄準目標。加密和金融
加密貨幣開發商和財務分析師的靶向不是隨機的。朝鮮依靠國家資助的黑客攻擊國際制裁併產生非法收入。 Lazarus Group的運營估計被盜了數十億美元的加密貨幣,其中最引人注目的案例之一是