Lazarus 駭侵團體藉由詐騙 Crypto.com 工作機會,對加密貨幣開發者植入 macOS 惡意軟體
- 發布單位:TWCERT/CC
- 更新日期:2022-09-30
- 點閱次數:363
資安廠商 Sentinel One 近日發表調查報告,指出該公司的資安研究團隊,發現 APT 駭侵團體 Lazarus,近日透過假冒 Crypto.com 的多個工作機會,對應徵的加密貨幣相關開發者投放含有惡意軟體的 macOS 檔案。
Crypto.com 是全球知名的大型加密貨幣企業,除了提供加密貨幣交易外,也提供 NFT、質押賺息、DeFi 服務等多項功能;該公司大手筆買下洛杉磯 Staple Center 球場冠名權,同時贊助多項運動比賽,因此成為駭侵者假冒的對象。
Lazurus 過去就曾有假冒加密貨幣業者在 LinkedIn 上「徵才」,然後以私訊傳送惡意軟體,用以駭入加密貨幣相關從業人員電腦的記錄。這次 Sentinel One 發現的攻擊活動,可謂故技重施;駭侵者透過 LinkedIn 私訊傳送一份 26 頁的 PDF 檔給應徵的加密貨幣開發者,檔案內容看似為 Crypto.com 的所有職缺說明,但內藏一個可在 macOS 執行的惡意軟體 Mach-O 二進位檔,接著進一步安裝酬載,並連接到駭侵者設立的控制伺服器。
由於在 Sentinel One 調查期間,Lazarus 已經關閉其控制伺服器,因此暫時未能查明會有哪些資料遭竊;不過 Lazarus 長期以來都鎖定加密貨幣相關業者與從業人員進行攻擊,過去也曾成功竊取受害公司與個人的加密貨幣資產。
建議加密貨幣相關工作者在求職轉職時,務必確認自己看到的職缺與聯絡窗口的真偽,對於對方寄送來的相關檔案也應小心謹慎,勿隨意開啟;各加密貨幣業者也應經常巡查 LinkedIn 等求職平台,檢視是否有不明帳號冒充官方帳號進行不法活動,如有則應立即檢舉。