Nordkoreanska APT Lazarus är upp till sina gamla knep med en cyberspionagekampanj som riktar sig till ingenjörer med ett falskt jobbinlägg som försöker sprida macOS malware. Den skadliga Mac-körbara filen som används i kampanjen riktar sig till både Apple- och Intel-chipbaserade system.

Kampanjen, identifierad av forskare från ESET Research Labs och avslöjat i en serie tweets publicerad tisdag, imiterar kryptovaluta handlare Coinbase i en arbetsbeskrivning som påstår sig söka en ingenjörschef för produktsäkerhet, avslöjade forskare.

Dubbad Operation In(ter)ception, den senaste kampanjen släpper en signerad Mac-körbar förklädd som en arbetsbeskrivning för Coinbase, som forskare upptäckte laddat upp till VirusTotal från Brasilien, skrev de."Skadlig programvara är kompilerad för både Intel och Apple Silicon", enligt en av tweetarna. "Den släpper tre filer: ett lockbete PDF-dokument Coinbase_online_careers_2022_07.pdf, en bunt http[://]FinderFontsUpdater[.]app och en safarifontagent för nedladdning."

Likheter med tidigare skadlig programvara

Skadlig programvara är liknar ett prov upptäcktes av ESET i maj, som också inkluderade en signerad körbar fil förklädd som en arbetsbeskrivning, sammanställdes för både Apple och Intel, och släppte ett PDF-lock, sa forskare.

Den senaste skadliga programvaran är dock signerad 21 juli, enligt dess tidsstämpel, vilket betyder att det antingen är något nytt eller en variant av den tidigare skadliga programvaran. Den använder ett certifikat utfärdat i februari 2022 till en utvecklare som heter Shankey Nohria och som återkallades av Apple den 12 augusti, sa forskare. Appen i sig var inte attesterad.

Operation In(ter)ception har också en kompletterande Windows-version av skadlig programvara som släpper samma lockbete och upptäcktes den 4 augusti av Malwarebytes hotunderrättelseforskaren Jazi, enligt ESET.

Skadlig programvara som används i kampanjen ansluter också till en annan kommando- och kontrollinfrastruktur (C2) än den skadliga programvaran som upptäcktes i maj, https:[//]concrecapital[.]com/%user%[.]jpg, som inte svarade när forskare försökte koppla till det.

Lasarus på fri fot

Nordkoreas Lazarus är välkänt som en av de mest produktiva APT:erna och befinner sig redan i hårkorset för internationella myndigheter, efter att ha sanktionerats redan 2019 av den amerikanska regeringen.

Lazarus är känd för att inrikta sig på akademiker, journalister och yrkesverksamma inom olika branscher - särskilt försvarsindustri–att samla in underrättelser och ekonomiskt stöd för Kim Jong-uns regim. Det har ofta använt imitationsknep liknande det som observerades i Operation In(ter)ception för att försöka få offer att ta betet med skadlig programvara.

En tidigare kampanj identifierades också i januari riktade arbetssökande ingenjörer genom att dingla falska anställningsmöjligheter på dem i en spjutfiskekampanj. Attackerna använde Windows Update som en levande-off-the-land-teknik och GitHub som en C2-server.

Samtidigt en liknande kampanj avslöjades förra året såg Lazarus efterlikna försvarsentreprenörerna Boeing och General Motors och hävdade att han sökte jobbkandidater enbart för att sprida skadliga dokument.

Ändra det

Men på senare tid har Lazarus diversifierat sin taktik, där FB har avslöjat att Lazarus också har varit ansvarig för ett antal kryptorån som syftar till att fylla Jong-uns regim med kontanter.

Relaterad till denna verksamhet, den amerikanska regeringen uttagna sanktioner mot kryptovalutamixertjänsten Tornado Cash för att ha hjälpt Lazarus att tvätta pengar från dess cyberkriminella aktiviteter, som de tror delvis är att finansiera Nordkoreas missilprogram.

Lazarus har till och med doppat tån i ransomware mitt i sin frenesi av cyberextortion. I maj forskare på cybersäkerhetsföretaget Trellix knöt det nyligen uppkomna VHD ransomware till den nordkoreanska APT.