Północnokoreańska Grupa Lazarus uruchomiła nową kampanię złośliwego oprogramowania macOS o nazwie Mach-O Man, która wykorzystuje fałszywe zaproszenia na spotkania online, aby nakłaniać dyrektorów firm kryptowalutowych i fintechowych do wykonania złośliwych poleceń na ich własnych urządzeniach, według firmy CertiK zajmującej się bezpieczeństwem blockchain.
Północnokoreańska Grupa Lazarus prowadzi nową kampanię nazwaną Mach-O Man, która celuje w dyrektorów firm kryptowalutowych, fintechowych i innych o wysokiej wartości, maskując dostarczenie złośliwego oprogramowania jako rutynową poprawkę techniczną podczas fałszywego spotkania biznesowego, według Natalie Newson, starszej badaczki bezpieczeństwa blockchain w CertiK. Kampania została ujawniona 22 kwietnia i stanowi jedną z najbardziej wyrafinowanych operacyjnie metod inżynierii społecznej grupy do tej pory.
Łańcuch ataku rozpoczyna się od pilnie wyglądającego zaproszenia na spotkanie wysłanego przez Telegram, podszywającego się pod rozmowę Zoom, Microsoft Teams lub Google Meet. Link prowadzi do przekonującej, ale fałszywej strony internetowej, która instruuje ofiarę, aby wkleiła pojedyncze polecenie do terminala Maca w celu rozwiązania pozornego problemu z połączeniem – technikę, którą CertiK identyfikuje jako ClickFix. Po wykonaniu polecenie instaluje modułowy zestaw złośliwego oprogramowania zbudowany z natywnych binariów Mach-O, dostosowanych do środowisk Apple, który profiluje hosta, ustanawia trwałość i eksfiltruje dane uwierzytelniające oraz dane przeglądarki za pośrednictwem kanału dowodzenia i kontroli opartego na Telegramie. Co kluczowe, zestaw narzędzi automatycznie usuwa się po wykonaniu zadania, co sprawia, że wykrycie i analiza kryminalistyczna są niezwykle trudne. „Te fałszywe kroki weryfikacyjne prowadzą ofiary przez skróty klawiaturowe, które uruchamiają szkodliwe polecenie” – powiedziała Newson z CertiK CoinDeskowi. „Strona wygląda realistycznie, instrukcje wydają się normalne, a ofiara sama inicjuje działanie, dlatego tradycyjne mechanizmy bezpieczeństwa często to przeoczają.”
W przeciwieństwie do tradycyjnych ataków phishingowych, które opierają się na sygnałach pilności lub podejrzanych adresach nadawców, kampania Mach-O Man została zaprojektowana tak, aby wyglądać na całkowicie rutynową w momencie dostarczenia. Dyrektorzy firm kryptowalutowych i fintechowych rutynowo otrzymują niezamówione kontakty od inwestorów, badaczy i partnerów biznesowych, co sprawia, że format fałszywego zaproszenia na spotkanie jest wiarygodną przynętą w sposób, w jaki uogólniony phishing często nie jest. Analiza CertiK wskazuje, że framework Mach-O Man jest powiązany z jednostką Famous Chollima Grupy Lazarus i jest rozpowszechniany za pośrednictwem skompromitowanych kont Telegram, specjalnie celując w organizacje o wysokiej wartości w przestrzeni aktywów cyfrowych. Większość ofiar nie zorientuje się, że została skompromitowana, aż długo po tym, jak złośliwe oprogramowanie samo się usunie. „Prawdopodobnie jeszcze o tym nie wiedzą” – powiedziała Newson. „Jeśli już wiedzą, prawdopodobnie nie są w stanie zidentyfikować, który wariant ich dotknął.”
CertiK powiązał kampanię Mach-O Man z szerszą ofensywą Grupy Lazarus, która w ciągu niecałych dwóch tygodni wyssała ponad 500 milionów dolarów z platform DeFi Drift i KelpDAO, zwiększając łączną kwotę skradzionych środków szacowaną na 6,7 miliarda dolarów od 2017 roku. Organizacja Narodów Zjednoczonych wcześniej oszacowała, że północnokoreańscy hakerzy ukradli kilka miliardów dolarów w aktywach cyfrowych, aby sfinansować programy zbrojeniowe kraju. „To, co sprawia, że Grupa Lazarus jest obecnie szczególnie niebezpieczna, to ich poziom aktywności” – powiedziała Newson. „To nie jest przypadkowe hakowanie. To sterowana przez państwo operacja finansowa prowadzona na skalę i z prędkością typową dla instytucji”. CertiK doradza profesjonalistom w branży krypto, aby niezależnie weryfikowali wszystkie prośby o spotkania za pośrednictwem oddzielnego kanału, zanim klikną jakikolwiek link lub pobiorą załącznik z niezamówionego zaproszenia.
CertiK udostępnił wskaźniki kompromitacji związane z kampanią Mach-O Man szerszej społeczności bezpieczeństwa, aby wesprzeć wysiłki w zakresie wykrywania i obrony w całej branży.
