Microsoft ha lanciato un avviso riguardo a nuove tattiche di ingegneria sociale adottate da un sottogruppo del noto Lazarus Group, che ora imposta infrastrutture che imitano portali di valutazione delle competenze per ingannare le vittime con truffe. L’attività è stata attribuita a un attore di minaccia conosciuto come Sapphire Sleet, noto anche con i nomi APT38, BlueNoroff, CageyChameleon e CryptoCore, che ha una lunga storia di furti di criptovalute tramite ingegneria sociale.
Cambiamento di tattiche e nuove minacce
Microsoft descrive questo cambiamento come un’evoluzione nelle tattiche di truffe del persistente attore di minaccia. Sapphire Sleet trova tipicamente i propri bersagli su piattaforme come LinkedIn, utilizzando esche legate a valutazioni delle competenze. Queste campagne di ingegneria sociale si sono evolute, spostando le comunicazioni con le vittime su altre piattaforme dopo un primo contatto riuscito.
Attacchi e distribuzione di malware
Le precedenti campagne del gruppo di hacker includevano l’invio di allegati dannosi direttamente alle vittime o l’incorporamento di link a pagine ospitate su siti web legittimi come GitHub. Tuttavia, la rapida individuazione e cancellazione di questi carichi dannosi ha spinto Sapphire Sleet a sviluppare una propria rete di siti web per la distribuzione di malware. Secondo Microsoft, diversi domini e sottodomini maligni ospitano questi siti web, che attirano i reclutatori a registrarsi per un account, proteggendo i siti con password per ostacolare le analisi.
Implicazioni per la sicurezza
La scoperta di Jamf Threat Labs di un nuovo ceppo di malware per macOS chiamato ObjCShellz, valutato come payload in una fase avanzata consegnato in connessione con un altro malware per macOS noto come RustBucket, evidenzia la crescente sofisticatezza degli attacchi di Sapphire Sleet. Questi sviluppi sottolineano l’importanza per gli individui e le organizzazioni di rimanere vigili e critici nei confronti delle comunicazioni professionali online.