În 2018, echipa globală de cercetare și analiză Kaspersky (GReAT) a publicat descoperirile despre AppleJeus, o operațiune care urmărea furtul de criptomonede, efectuată de prolificul atacator cibernetic Lazarus. Acum, noile descoperiri arată că operațiunea continuă cu pași mai atenți, cu tactici și proceduri îmbunătățite și cu utilizarea Telegram drept unul dintre noii săi vectori de atac. Operațiunea a afectat mai multe victime din Marea Britanie, Polonia, Rusia și China, dintre care unele au legătură cu entități de business din domeniul criptomonedelor.
Grupul Lazarus este unul dintre cei mai activi și prolifici atacatori APT (Amenințare persistentă și avansată), desfășurând o serie de campanii ce vizează organizații din domeniul criptomonedelor. În timpul operațiunii inițiale AppleJeus din 2018, atacatorul a creat o companie falsă de criptomonede pentru a-și livra aplicația și a beneficia de un capital ridicat de încredere în rândul potențialelor victime. Această operațiune a marcat construirea de către Lazarus a primului program malware pentru MacOS. Aplicația a fost descărcată de utilizatori de pe site-uri terțe, iar programul periculos a fost livrat deghizat într-un update de rutină al aplicației. Acesta a permis atacatorului să obțină control complet asupra dispozitivului utilizatorului și să fure criptomonede.
Cercetătorii Kaspersky au identificat modificări semnificative ale tacticii de atac a grupului în operațiunea următoare. Vectorul de atac din 2019 l-a copiat pe cel din anul precedent, dar cu unele îmbunătățiri. De această dată, Lazarus a creat site-uri false legate de criptomonede, care găzduiau link-uri către false canale Telegram de companie și livrau malware prin messenger.
La fel ca în operațiunea inițială AppleJeus, atacul a constat în două faze. Utilizatorii descărcau mai întâi o aplicație iar downloader-ul asociat prelua următorul payload de pe un server de la distanță, permițând în final atacatorului să controleze în totalitate dispozitivul infectat cu un backdoor permanent. De această dată însă, programul a fost livrat cu atenție pentru a se sustrage soluțiilor de detecție bazate pe comportament. În atacurile împotriva țintelor care utilizau macOS, a fost adăugat un mecanism de autentificare pentru downloader și a fost modificată structura de dezvoltare, fiind adoptată de această dată o tehnică de infectare fără fișiere. Când au vizat utilizatorii de Windows, atacatorii au evitat malware-ul Fallchill (care a fost folosit în prima operațiune AppleJeus) și au creat un malware care a rulat doar pe anumite sisteme, după ce le-au verificat pe baza unui set de valori date. Aceste schimbări arată că grupul a devenit mai atent în atacurile sale, folosind noi metode pentru a evita să fie detectat.
Lazarus a făcut, de asemenea, modificări semnificative în malware-ul pentru macOS și a extins numărul de versiuni. Spre deosebire de atacul anterior, în timpul căruia Lazarus a folosit QtBitcoinTrader pentru a construi un installer de macOS, în timpul celei de-a doua operațiuni AppleJeus atacatorul a început să folosească codul lor dezvoltat intern, pentru a construi un installer infectat. Aceste evoluții arată că atacatorul va continua să creeze versiuni ale malware-ului macOS și cea mai recentă detecție a noastră a fost un rezultat intermediar al acestor modificări.
