虚假职位发布被拉撒路组织用于分发macOS恶意软件 媒体

北朝鲜APT组织Lazarus的网络间谍活动

关键要点

北朝鲜国Sponsored的APT组织Lazarus最近展开了一项网络间谍活动，利用虚假的Coinbase职位发布，意在通过感染macOS恶意软件来入侵基于Apple和Intel的系统，详见Threatpost。Lazarus在这些招聘信息中伪装成加密货币交易平台Coinbase，招募专注于产品安全的软件工程师。实际上，这些信息隐藏了一个Mac可执行文件。

ESET研究实验室的研究人员指出，恶意软件兼容Intel和Apple Silicon两种处理器，并且会生成三个文件：一个误导性的PDF文档Coinbaseonlinecareers202207pdf、一个名为FinderFontsUpdaterapp的捆绑包，以及一个下载器safarifontagen。在推特上，ESET表示：“研究人员发现新识别的恶意软件与另一种伪装成工作描述的签名可执行文件有相似之处，后者在今年5月被ESET识别出来。然而，这两种恶意软件在指挥控制基础设施上存在差异。”

尽管该组织在2018年受到了美国政府的制裁，Lazarus仍然持续对全球各行业进行网络攻击，包括去年伪装成通用汽车和波音公司进行类似活动。这些持续的攻击表明，Lazarus无视制裁措施，依然能够跨境进行复杂的网络犯罪行为。

相关链接： ESET对Lazarus恶意软件的分析 美方对Lazarus的制裁措施