SentinelOneは9月26日(米国時間)、「Lazarus ‘Operation In(ter)ception’ Targets macOS Users Dreaming of Jobs in Crypto - SentinelOne」において、北朝鮮に関連する持続的標的型攻撃(APT: Advanced Persistent Threat)グループの「Lazarus」がAppleユーザーを標的にしていると伝えた。Lazarusによるものとみられる、シンガポールを拠点にしている暗号資産取引所であるCrypto.comの求人情報を偽装したキャンペーンが観測されている。

Lazarus ‘Operation In(ter)ception’ Targets macOS Users Dreaming of Jobs in Crypto - SentinelOne

Lazarusは少なくとも2020年以降、「Operation Dream Job」と呼ばれる航空宇宙および防衛関連業者などを標的とした魅力的な仕事のオファーを偽るキャンペーンの展開を続けている。これまでのキャンペーンではWindows向けのマルウェアが使用されていたが、2022年8月に同様の戦術を用いたmacOS向けのマルウェアが発見されている。このキャンペーンでは、暗号資産取引所であるCoinbaseの求人情報を装ったPDF文書が使われている。

SentinelOneは、先日Crypto.comの求人を装ったPDF文書「Crypto.com_Job_Opportunities_2022_confidential.pdf 」を新たなルアーとして使用したmacOSマルウェアの亜種を発見している。このマルウェアの正確な配布経路は特定されていないが、ビジネスネットワーキングサイトであるLinkedInのダイレクトメッセージを通じてターゲットを特定しているとみられている。

Decoy document advertising positions on crypto.com

SentinelOneは、Lazarusが引き続き暗号資産交換に関与するユーザーをターゲットにしていると警告。暗号資産を利用しているユーザーだけでなく、暗号資産に関与している企業の従業員にターゲットを拡大していると伝えている。