Ünlü Lazarus Grubu içindeki bir alt küme, sosyal mühendislik kampanyalarının bir parçası olarak beceri değerlendirme portallarını taklit eden yeni bir altyapı kurdu.
Microsoft, etkinliği çağırdığı bir tehdit aktörüne bağladı Safir Karla karışık yağmurbunu “ısrarcı aktörün taktiklerinde bir değişiklik” olarak tanımlıyor.
APT38, BlueNoroff, CageyChameleon ve CryptoCore olarak da adlandırılan Sapphire Sleet, sosyal mühendislik yoluyla kripto para hırsızlığını düzenleme konusunda bir geçmişe sahip.
Bu haftanın başlarında Jamf Threat Labs, tehdit aktörünün, RustBucket olarak bilinen başka bir macOS kötü amaçlı yazılımıyla bağlantılı olarak iletilen son aşama bir yük olduğu değerlendirilen ObjCShellz adlı yeni bir macOS kötü amaçlı yazılım ailesiyle bağlantılı olduğunu ortaya çıkardı.
Microsoft Tehdit İstihbaratı ekibi “Sapphire Sleet genellikle LinkedIn gibi platformlarda hedefleri buluyor ve beceri değerlendirmesiyle ilgili yemleri kullanıyor” söz konusu X’teki (eski adıyla Twitter) bir dizi gönderide.
“Tehdit aktörü daha sonra hedeflerle başarılı iletişimi diğer platformlara taşıyor.”
Teknoloji devi, bilgisayar korsanlığı ekibi tarafından gerçekleştirilen geçmiş kampanyaların, doğrudan kötü amaçlı ekler göndermeyi veya GitHub gibi meşru web sitelerinde barındırılan sayfalara bağlantılar yerleştirmeyi içerdiğini söyledi.
Ancak bu yüklerin hızlı bir şekilde tespit edilmesi ve silinmesi, Sapphire Sleet’i kötü amaçlı yazılım dağıtımı için kendi web sitesi ağını geliştirmeye zorlamış olabilir.
Şirket, “Birçok kötü amaçlı alan ve alt alan adı bu web sitelerini barındırıyor ve bu da işe alım yapanları bir hesaba kaydolmaya teşvik ediyor” diye ekledi. “Web siteleri, analizi engellemek için şifre korumalıdır.”