မြောက်ကိုရီးယား၏ Lazarus Group သည် “Mach-O Man” macOS malware နှင့် တွေ့ဆုံမှု အတုအယောင်များဖြစ်သော crypto exec များကို ခိုးယူကာ DeFi စီးနင်းမှု ကိုးပုံတစ်ပုံကို ရန်ပုံငွေအဖြစ် အသုံးပြုနေသည်။
အနှစ်ချုပ်
- CertiK သည် crypto နှင့် fintech အမှုဆောင်အရာရှိများကို ထိမှန်သည့် Lazarus ဖြင့်တည်ဆောက်ထားသော macOS ကိရိယာတန်ဆာပလာတစ်ခုဖြစ်သည့် “ Mach-O Man” ကို အလံပြထားသည်။
- ကမ်ပိန်းသည် ClickFix-စတိုင်အတု အစည်းအဝေးဖိတ်ကြားချက်များကို အသုံးပြု၍ terminal command များထည့်သွင်းရာတွင် သားကောင်များကိုလှည့်စားသည်။
- မကြာသေးမီက DeFi စီးနင်းမှုများတွင် Drift နှင့် KelpDAO မှ ခိုးယူခံရသော ဒေါ်လာ သန်း 500 ကျော် လာဇရုကို သုတေသီများက ချိတ်ဆက်ထားသည်။
လာဇရုblockchain လုံခြုံရေးကုမ္ပဏီ CertiK ၏အဆိုအရ မြောက်ကိုရီးယားအစိုးရကျောထောက်နောက်ခံပြု ဟက်ကာအဖွဲ့သည် fintech နှင့် crypto ရှိ အမှုဆောင်များကို လေးလေးနက်နက်ရည်ရွယ်သည့် macOS malware လှုပ်ရှားမှုအသစ်ကို စတင်လိုက်ပြီဖြစ်သည်။
“Mach-O Man” ဟုအမည်ပေးထားသည့် အဆိုပါ လုပ်ဆောင်ချက်သည် ဒစ်ခ်ပေါ်တွင် ခြေရာရာမရှိသလောက်ဖြစ်နေချိန်တွင် crypto နှင့် အရေးကြီးသောကော်ပိုရိတ်ဒေတာများကို ခိုးယူရန်အတွက် လူမှုအင်ဂျင်နီယာနှင့် terminal-level payload များကို ချိတ်ဆက်ထားသည်။
CertiK ကမ်ပိန်းသည် ပံ့ပိုးမှုအတု သို့မဟုတ် အစည်းအဝေးစီးဆင်းမှုများအတွင်း သားကောင်များအား “ ပြုပြင်ခြင်း” သို့မဟုတ် “ အတည်ပြုခြင်း” ကဲ့သို့သော အမိန့်များကို macOS Terminal တွင် တိုက်ရိုက်ထည့်သွင်းရန် လှုံ့ဆော်ခံရသည့် ClickFix နည်းပညာကို မှီခိုအားထားသည်ဟု သုတေသီများက ပြောသည်။ ဤကိစ္စတွင်၊ အတုအယောင် အွန်လိုင်းအစည်းအဝေးဖိတ်ကြားချက်များသည် “ သားကောင်များအား Mac terminals များထဲသို့ အန္တရာယ်ရှိသော ပြုပြင်ရေးအမိန့်များကို ကူးထည့်ရန်” လှည့်ဖြားသည့် အတုအယောင်များကို အသုံးပြုပြီးနောက် မှုခင်းဆေးပညာကို စိတ်ပျက်စေမည့် toolkit ဖြင့် အလိုအလျောက်ဖျက်ခြင်းဖြစ်သည်ဟု CertiK ၏ ခွဲခြမ်းစိတ်ဖြာချက်က မှတ်ချက်ပြုထားသည်။
ခြိမ်းခြောက်မှုထောက်လှမ်းရေးကုမ္ပဏီ SOC Prime ၏အဆိုအရ “ Mach-O Man” မူဘောင်ကို Lazarus ၏ Famous Chollima ယူနစ်နှင့် ချိတ်ဆက်ထားပြီး အပေးအယူခံရသော Telegram အကောင့်များနှင့် အတုအယောင်တွေ့ဆုံပွဲများမှ တန်ဖိုးမြင့် crypto နှင့် ငွေကြေးအဖွဲ့အစည်းများကို ပစ်မှတ်ထားရန် ဖိတ်ကြားထားသည်။ ကိရိယာတန်ဆာပလာများ၊ အရ၊ CoinDesk တွင်၊ လက်ခံသူအား ပရိုဖိုင်းပြုလုပ်ရန် ဒီဇိုင်းထုတ်ထားသော Mach-O binaries အများအပြားပါဝင်သည်၊ မြဲမြံစွာတည်ဆောက်ရန်နှင့် Telegram-based command-and-control မှတစ်ဆင့် အထောက်အထားများနှင့် ဘရောက်ဆာဒေတာများကို ဖယ်ထုတ်သည်။
Google Cloud ၏ Mandiant သည် ယခင်က ClickFix နှင့် AI-အကူအညီပေးထားသော ဗီဒီယိုနက်နက်အတုများ၊ Zoom ခေါ်ဆိုမှုများအတုများနှင့် ရောနှောထားသော အလားတူ macOS ကမ်ပိန်းများကို ယခင်က ဖော်ပြခဲ့ဖူးပြီး ရှုပ်ထွေးနေသော commands များကို လုပ်ဆောင်ရန်အတွက် ပစ်မှတ်များကို တွန်းလှန်ထားသည်။
“ ကမ်ပိန်းသည် အပေးအယူခံရသော Telegram အကောင့်၊ Zoom အစည်းအဝေးအတုနှင့် AI-အကူအညီပေးသော လှည့်ဖြားမှုများကို အသုံးပြု၍ သားကောင်များကို macOS ကူးစက်မှုကွင်းဆက်သို့ ဦးတည်စေသည့် terminal commands များကို လုပ်ဆောင်ရန် လှည့်ဖြားခဲ့သည်” ဟု Mandiant သုတေသီများက ရေးသားခဲ့သည်။
CertiK သုတေသီ Natalie Newson သည် နှစ်ပတ်ကျော်အတွင်း DeFi ပလပ်ဖောင်း Drift နှင့် KelpDAO မှ ဒေါ်လာ သန်း 500 ကျော်ကို သိမ်းယူထားသော ပိုမိုကျယ်ပြန့်သော Lazarus တွန်းအားနှင့် ချိတ်ဆက်ပေးခဲ့သည်။
ထိုအဖြစ်အပျက်များတွင် Lazarus သည် တိုက်ခိုက်သူများအား အကြမ်းဖျင်း 116,500 rsETH နှင့် တန်ဖိုး $292 သန်းခန့် ထုတ်ယူနိုင်စေသည့် ဆန်းပြားသော ကွင်းဆက်ဖြတ်ကျော်မှုဖြင့် ကုန်သွယ်လုပ်ငန်းတစ်ခုအား လူမှုရေးအင်ဂျင်နီယာနှင့် ပေါင်းစပ်ခဲ့သည်ဟု စွပ်စွဲခဲ့သည်။
LayerZeroKelpDAO မှအသုံးပြုသောတံတားအခြေခံအဆောက်အအုံကိုပံ့ပိုးပေးသော၊ မြောက်ကိုရီးယား၏ Lazarus Group သည် rsETH အသုံးချမှုနောက်ကွယ်တွင် “ဖြစ်နိုင်ခြေရှိသောသရုပ်ဆောင်” ဖြစ်သည်ဟု ပြောကြားပြီး ကွင်းဆက်ပုံသဏ္ဍာန်ဖြတ်ကျော်မှုမက်ဆေ့ချ်ကိုဖွင့်ရန်အတွက် တစ်ခုတည်းသောအချက်မှာ ပျက်ကွက်ကြောင်းအတည်ပြုမှုဒီဇိုင်းကို အပြစ်တင်ခဲ့သည်။
“ Lazarus သည် 2023 နှင့် 2024 ခုနှစ်များတွင် virtual ပိုင်ဆိုင်မှုဒေါ်လာ 2 ဘီလီယံခန့်ကို ခိုးယူခဲ့သည်” ဟု ယခင် ClickFix-enabled campaigns များကို ကိုးကား၍ Lazarus သည် နှစ်ပေါင်းများစွာ ပစ်မှတ်ထားနေခဲ့သည်။
DeFi သည် ဟက်ကာများအတွက် စံချိန်တင်အဆိုးရွားဆုံးလဟု သုတေသနအဖွဲ့များက ခေါ်ဝေါ်သည့်အရာကို ခံစားနေကြရပြီး ယခုအခါ စျေးကွက်များသည် ယခုနှစ်တွင် နောက်ထပ်ဒေါ်လာ သန်း 100 နှင့် အမြတ်ထုတ်မှုများဖြင့် ထိထိရောက်ရောက် စျေးနှုန်းသတ်မှတ်နေကြပြီး Lazarus ကဲ့သို့သော အစိုးရချိတ်ဆက်တိုက်ခိုက်သူများသည် crypto စွန့်စားရပုံအား အလေးပေးဖော်ပြလျက်ရှိသည်။
Comments are closed, but trackbacks and pingbacks are open.