Ang Lazarus Group ng North Korea ay naglunsad ng bagong kampanya ng malware sa macOS na tinatawag na Mach-O Man na gumagamit ng mga pekeng imbitasyon sa online na pulong upang dayain ang mga executive sa crypto at fintech na magpatupad ng mga malisyosong utos sa kanilang sariling mga device, ayon sa blockchain security firm na CertiK.
Ang Lazarus Group ng North Korea ay nagpapatakbo ng bagong kampanyang tinawag na Mach-O Man na nagta-target ng mga executive sa crypto, fintech, at iba pang high-value na kumpanya sa pamamagitan ng pagtatago ng paghahatid ng malware bilang isang regular na technical fix sa panahon ng isang pekeng business meeting, ayon kay Natalie Newson, senior blockchain security researcher ng CertiK. Isinapubliko ang kampanya noong Abril 22 at kumakatawan sa isa sa pinaka-sopistikadong pamamaraan ng social engineering ng grupo sa ngayon.
Nagsisimula ang kadena ng pag-atake sa isang imbitasyon sa pulong na mukhang apurahan, ipinadala sa Telegram, na ginagaya ang isang tawag sa Zoom, Microsoft Teams, o Google Meet. Ang link ay humahantong sa isang nakakumbinsi ngunit pekeng website na nagsasabi sa biktima na mag-paste ng isang utos sa kanilang Mac terminal upang lutasin ang isang maliwanag na isyu sa koneksyon, isang teknik na tinutukoy ng CertiK bilang ClickFix. Kapag naisagawa, ang utos ay nag-i-install ng modular malware kit na binuo mula sa mga native na Mach-O binaries na iniakma para sa mga Apple environment, na nagpro-profile ng host, nagtatatag ng persistence, at nag-e-exfiltrate ng mga credential at data ng browser sa pamamagitan ng isang Telegram-based na command-and-control channel. Kritikal, awtomatikong nabubura ang toolkit pagkatapos makumpleto ang gawain nito, na nagpapahirap sa pagtuklas at forensic analysis. “Ang mga pekeng hakbang sa pag-verify na ito ay gumagabay sa mga biktima sa pamamagitan ng mga keyboard shortcut na nagpapatakbo ng mapanganib na utos,” sabi ni Newson ng CertiK sa CoinDesk. “Mukhang totoo ang pahina, normal ang mga tagubilin, at ang biktima mismo ang nagpasimula ng aksyon, kaya madalas itong nalalampasan ng tradisyonal na security controls.”
Hindi tulad ng tradisyonal na phishing attacks na umaasa sa mga pahiwatig ng pagkaapura o kahina-hinalang email addresses ng nagpadala, ang kampanya ng Mach-O Man ay idinisenyo upang magmukhang ganap na karaniwan sa sandali ng paghahatid. Ang mga executive sa crypto at fintech ay regular na nakakatanggap ng cold outreach mula sa mga investor, researcher, at business partners, na ginagawang kapani-paniwalang pain ang pekeng format ng imbitasyon sa pulong sa paraang madalas ay hindi ang generalized phishing. Sinabi ng pagsusuri ng CertiK na ang Mach-O Man framework ay konektado sa Famous Chollima unit ng Lazarus at ipinapamahagi sa pamamagitan ng mga nakompromisong Telegram accounts na partikular na nagta-target ng mga high-value na organisasyon sa espasyo ng digital asset. Karamihan sa mga biktima ay hindi malalaman na sila ay nakompromiso hanggang matapos mabura ang malware. “Malamang na hindi pa nila alam,” sabi ni Newson. “Kung alam nila, malamang na hindi nila matukoy kung aling variant ang nakaapekto sa kanila.”
Iniugnay ng CertiK ang kampanya ng Mach-O Man sa isang mas malawak na opensiba ng Lazarus na nakasipsip ng mahigit $500 milyon mula sa mga platform ng DeFi na Drift at KelpDAO sa loob ng dalawang linggo, na nagdaragdag sa pinagsama-samang kabuuang pagnanakaw na tinatayang $6.7 bilyon mula noong 2017. Tinatayang ng United Nations na ang mga hacker ng North Korea ay nakakakuha ng bilyun-bilyong dolyar sa digital assets upang pondohan ang mga programa ng armas ng bansa. “Ang nagpapahirap sa Lazarus lalo na ngayon ay ang kanilang antas ng aktibidad,” sabi ni Newson. “Hindi ito random na hacking. Ito ay isang operasyong pinansyal na pinamamahalaan ng estado na tumatakbo sa sukat at bilis na tipikal ng mga institusyon.” Pinapayuhan ng CertiK ang mga propesyonal sa crypto na independiyenteng i-verify ang lahat ng kahilingan sa pulong sa pamamagitan ng isang hiwalay na channel bago mag-click ng anumang link o mag-download ng anumang attachment mula sa isang hindi inaasahang imbitasyon.
Ibinahagi ng CertiK ang indicators of compromise na konektado sa kampanya ng Mach-O Man sa mas malawak na komunidad ng seguridad upang suportahan ang pagtuklas at mga pagsisikap sa depensa sa buong industriya.
