朝鲜APT Lazarus又玩起了老把戏，开展了针对工程师的网络间谍活动，通过发布虚假的招聘信息，试图传播macOS恶意软件。该活动中所使用的恶意的Mac可执行文件可以同时针对苹果和英特尔芯片系统进行攻击。

该攻击活动由ESET研究实验室的研究人员发现，并在周二发布的一系列推文中披露，研究人员透露，该攻击活动通过伪造加密货币交易商Coinbase的招聘信息，声称他们在招聘产品安全工程经理。

他们写道，最近的攻击活动被称为Operation In(ter)ception，攻击者投放了一个经过签名的Mac可执行文件，该文件伪装成了Coinbase的招聘文件，研究人员发现该文件是从巴西上传至VirusTotal平台。

其中一条推文称，该恶意软件是特地为英特尔和苹果编译的，它投放了三个文件，一个是诱饵PDF文件Coinbase_online_careers_2022_07.pdf，一个捆绑文件http[://]FinderFontsUpdater[.]app和一个下载器safarifontagent。

与以前的恶意软件的相似之处

研究人员说，该恶意软件与ESET在5月份发现的样本非常相似，其中也包括了一个伪装成工作招聘的签名可执行文件，是特地为苹果和英特尔编制的，并投放了一个PDF诱饵。

然而，根据其时间戳，最近的恶意软件是在7月21日签署的，这意味着它要么是最近才制作出来的东西，要么是以前恶意软件的变种。研究人员说，它使用的是2022年2月颁发给一个名叫Shankey Nohria的开发者的证书，该证书于8月12日被苹果公司撤销。并且该应用程序本身并没有经过公证。

据ESET称，Operation In(ter)ception还有一个配套的Windows版本的恶意软件，投放了同样的诱饵，并于8月4日被Malwarebytes威胁情报研究员Jazi发现。

该攻击活动中使用的恶意软件还连接到了一个与5月份发现的恶意软件不同的指挥和控制（C2）基础设施，https:[//]concrecapital[.]com/%user%[.]jpg，当研究人员试图连接到它时，它没有回应。

逍遥法外的Lazarus

众所周知，朝鲜的Lazarus是目前犯罪最猖狂的APT之一，并且已经被国际当局盯上了，早在2019年就被美国政府制裁了。

Lazarus以针对学者、记者和各行业的专业人士--特别是国防工业来为政府收集情报和财政支持而闻名。它经常使用与Operation In(ter)ception中观察到的类似的欺骗技巧，试图让受害者打开恶意软件的诱饵。

之前在1月份发现的一个攻击活动也是针对求职的工程师进行攻击，在鱼叉式网络钓鱼活动中向他们宣传虚假的就业机会。这些攻击将Windows Update作为一种攻击载体，将GitHub作为一个C2服务器。

同时，在去年发现的一个类似的活动中，Lazarus冒充国防承包商波音和通用汽车，声称他们在寻找求职者，其实就是为了传播恶意文件。

发生的改变

然而，最近Lazarus的攻击策略也开始变得多样化，联邦调查局透露，Lazarus还进行了一些加密货币窃取案，其目的是为了给Jong-un政权提供更多的资金。

与此相关，美国政府对加密货币混合服务Tornado Cash进行了制裁，因为它帮助Lazarus对其网络犯罪活动获得的现金进行了洗钱，他们认为这些资金是为了资助朝鲜的导弹计划。

在其疯狂的网络敲诈活动中，Lazarus甚至还涉足了勒索软件。5月，网络安全公司Trellix的研究人员将最近出现的VHD勒索软件与朝鲜APT有关。

参考及来源：https://threatpost.com/apt-lazarus-macos-malware/180426/