Lazarus集團發動新一波網路攻擊，誘騙員工感染其裝置。 該組織目前利用偽造的會議邀請，企圖滲透企業系統。其目標是竊取企業的登入憑證、敏感資料與財務資訊。 攻擊始於透過Telegram發送的訊息，通常來自已遭入侵或看似可信的聯絡人。受害者隨後會收到邀請，加入一個看似由Zoom、Microsoft Teams或Google Meet舉辦的會議。

當使用者點擊連結後，將被導向一個看似真實的網站。該偽造網站會顯示錯誤訊息，並指示使用者複製並貼上一段指令至終端機以「修復」問題。此步驟將使Lazarus集團取得控制權，因為使用者自行執行了惡意指令。 此波攻擊引入了一個名為Mach-O Man的新macOS惡意軟體工具包。其設計旨在規避偵測，利用正常的系統工具並依賴人為行為，而非技術漏洞。

Lazarus集團如何發動攻擊

指令執行後，惡意軟體會分多個階段安裝自身。首先，它會執行一個檔案，下載看似可信軟體的偽造應用程式。這些偽造應用程式會反覆要求使用者輸入密碼，即使密碼正確，也會假裝程序已成功。 在背景中，惡意軟體會收集系統詳細資訊，例如裝置資訊、執行中的進程與瀏覽器資料。Lazarus集團將其設計成能針對主流瀏覽器，竊取已儲存的憑證、Cookie與擴充功能資料。

攻擊接著會在裝置上建立持久性，透過安裝隱藏的啟動程序，確保即使系統重啟，惡意軟體仍能持續運作。 最後，一個資料竊取元件會收集敏感資訊，包括macOS鑰匙圈資料與儲存的登入詳細資訊。所有資料會被打包成一個檔案，並透過Telegram回傳給攻擊者，此舉有助於將活動隱藏在正常流量中。

此攻擊為何如此危險

此波攻擊難以偵測，因為它依賴社交工程，而非軟體漏洞。由於使用者自行執行指令，許多安全系統不會將此活動標記為可疑。此外，單一遭入侵的裝置可能讓攻擊者存取整個組織的基礎設施。

翻譯：K1ngZ