Nordkoreas Lazarus Group og Mach-O Man Malware
Nordkoreas Lazarus Group bruger “Mach-O Man” macOS-malware og falske mødeinvitationer til at kapre kryptovaluta-chefer og finansiere ni-cifrede DeFi-angreb. Ifølge blockchain-sikkerhedsfirmaet CertiK har Lazarus, den nordkoreanske statsstøttede hackinggruppe, lanceret en ny macOS-malwarekampagne, der er målrettet direkte mod ledere inden for fintech og kryptovaluta.
Operationens Metoder
Operationen, kaldet “Mach-O Man”, kombinerer social engineering med terminal-niveau payloads for at stjæle kryptovaluta og følsomme virksomhedsdata, mens den efterlader næsten ingen spor på disken. CertiK-forskere siger, at kampagnen bygger på ClickFix-teknikken, hvor ofre lokkes til at indsætte, hvad der ligner “reparations”- eller “verifikations”-kommandoer direkte i macOS Terminal under falske support- eller mødeforløb.
I dette tilfælde ankommer lokkemidlerne som falske online mødeinvitationer, der “narre ofrene til at indsætte ondsindede reparationskommandoer i Mac-terminaler”. Værktøjet sletter sig selv efter brug for at frustrere retsmedicinske undersøgelser, bemærkede CertiKs analyse.
Distribution og Målretning
Ifølge trusselintelligence-firmaet SOC Prime er “Mach-O Man”-rammen knyttet til Lazarus’ berømte Chollima-enhed og distribueres gennem kompromitterede Telegram-konti og falske mødeinvitationer, der målretter mod højt værdsatte kryptovaluta- og finansorganisationer. Værktøjet inkluderer flere Mach-O binære filer designet til at profilere værten, etablere vedholdenhed og eksfiltrere legitimationsoplysninger og browserdata via Telegram-baseret kommando-og-kontrol.
Tidligere Kampagner og Økonomisk Indvirkning
Google Clouds Mandiant beskrev tidligere lignende macOS-kampagner, der blandede ClickFix med AI-assisterede video deepfakes, falske Zoom-opkald og kaprede beskedkonti for at presse mål til at udføre obfuskerede kommandoer. “Kampagnen brugte en kompromitteret Telegram-konto, et falsk Zoom-møde og AI-assisteret bedrag for at narre ofrene til at udføre terminalkommandoer, der førte til en macOS-infektion,” skrev Mandiant-forskere.
CertiK-forsker Natalie Newson knyttede den seneste “Mach-O Man”-bølge til et bredere Lazarus-pres, der har siphoned mere end $500 millioner fra DeFi-platforme Drift og KelpDAO på lidt over to uger. I disse hændelser kombinerede Lazarus angiveligt social engineering mod et handelsfirma med en sofistikeret cross-chain udnyttelse, der gjorde det muligt for angribere at præge cirka 116.500 rsETH og dræne omkring $292 millioner i værdi.
LayerZero, som leverer broinfrastrukturen, der bruges af KelpDAO, sagde, at Nordkoreas Lazarus Group er den “sandsynlige aktør” bag rsETH-udnyttelsen og bebrejdede et enkelt punkt af fejlverificering design for at muliggøre den forfalskede cross-chain besked.
Konklusion
Lazarus har målrettet kryptovaluta-økosystemet i årevis og stjålet cirka $2 milliarder i virtuelle aktiver i 2023 og 2024, rapporterede sikkerhedsudgangen SecurityWeek og henviste til tidligere ClickFix-aktiverede kampagner. Med DeFi, der allerede lider under hvad forskningsudgivelser har kaldt sin værste måned nogensinde for hacks, priser markederne nu effektivt ind i endnu en udnyttelse på over $100 millioner i år, hvilket understreger, hvordan statsforbundne angribere som Lazarus er blevet systemiske for kryptovaluta-risiko.
