Ang Lazarus Group at ang Mach-O Man Malware
Ang Lazarus Group ng North Korea ay gumagamit ng bagong macOS malware na tinatawag na “Mach-O Man” at pekeng imbitasyon sa pulong upang targetin ang mga crypto executive at pondohan ang mga raid sa DeFi na nagkakahalaga ng siyam na numero.
Kampanya ng Malware
Ayon sa blockchain security firm na CertiK, inilunsad ng Lazarus ang isang bagong kampanya ng macOS malware na nakatuon sa mga executive sa fintech at cryptocurrency. Ang operasyon, na tinawag na “Mach-O Man”, ay gumagamit ng social engineering at terminal-level payloads upang magnakaw ng cryptocurrency at sensitibong corporate data habang halos walang iniwang bakas sa disk.
Teknik ng ClickFix
Sinabi ng mga mananaliksik ng CertiK na ang kampanya ay umaasa sa ClickFix technique, kung saan ang mga biktima ay nahihikayat na i-paste ang mga mukhang “repair” o “verification” na mga utos nang direkta sa macOS Terminal sa panahon ng pekeng suporta o mga daloy ng pulong. Sa kasong ito, ang mga pang-akit ay dumating bilang mga pekeng online meeting invitations na nag-uudyok sa mga biktima na i-paste ang mga mapanlikhang repair commands sa Mac terminals, na ang toolkit ay awtomatikong nag-delete pagkatapos ng paggamit upang hadlangan ang forensics.
Pagkakakilanlan ng Mach-O Man
Ayon sa threat intelligence firm na SOC Prime, ang “Mach-O Man” framework ay konektado sa Famous Chollima unit ng Lazarus at ipinamamahagi sa pamamagitan ng mga compromised Telegram accounts at pekeng imbitasyon sa pulong na nakatuon sa mga mataas na halaga ng cryptocurrency at mga organisasyong pinansyal.
Mga Binaries at Command-and-Control
Ayon sa CoinDesk, ang toolkit ay may kasamang maraming Mach-O binaries na dinisenyo upang i-profile ang host, magtatag ng persistence, at mag-exfiltrate ng mga kredensyal at data ng browser sa pamamagitan ng Telegram-based command-and-control.
Mga Nakaraang Kampanya
Naunang inilarawan ng Mandiant ng Google Cloud ang mga katulad na kampanya ng macOS na pinagsasama ang ClickFix sa AI-assisted video deepfakes, pekeng Zoom calls, at hijacked messaging accounts upang itulak ang mga target na isagawa ang mga obfuscated commands.
“Gumamit ang kampanya ng isang compromised Telegram account, isang pekeng Zoom meeting, at AI-assisted deception upang linlangin ang mga biktima na isagawa ang mga terminal commands na nagdudulot ng isang macOS infection chain,”
isinulat ng mga mananaliksik ng Mandiant.
Mga Resulta ng Kampanya
Ikinonekta ng mananaliksik ng CertiK na si Natalie Newson ang pinakabagong alon ng “Mach-O Man” sa mas malawak na pagsisikap ng Lazarus na nakakuha ng higit sa $500 milyon mula sa mga platform ng DeFi na Drift at KelpDAO sa loob lamang ng mahigit dalawang linggo.
Targeting ng Cryptocurrency Ecosystem
Sinabi ng LayerZero, na nagbibigay ng bridge infrastructure na ginamit ng KelpDAO, na ang Lazarus Group ng North Korea ay ang “malamang na aktor” sa likod ng rsETH exploit at sinisi ang isang single-point-of-failure verifier design para sa pagpapahintulot sa forged cross-chain message.
“Target ng Lazarus ang cryptocurrency ecosystem sa loob ng maraming taon, na nagnanakaw ng humigit-kumulang $2 bilyon sa mga virtual assets noong 2023 at 2024,”
iniulat ng security outlet na SecurityWeek, na binanggit ang mga naunang kampanya na pinagana ng ClickFix.
Konklusyon
Sa kabila ng DeFi na nakakaranas na ng tinawag ng mga research outlet na pinakamasamang buwan sa rekord para sa mga hack, ang mga merkado ay epektibong nagpepresyo na ngayon ng isa pang exploit na higit sa $100 milyon sa taong ito, na binibigyang-diin kung paano naging sistematikong panganib sa crypto ang mga state-linked attackers tulad ng Lazarus.
