微软将该活动归咎于 “Sapphire Sleet”，将其描述为“持久的攻击者的战术转换”。Sapphire Sleet 也被称为 “APT 38”、“BlueNoroff”、“CageyChameleon”和 “CryptoCore”，此前被指通过社工盗取密币。

本周早些时候，Jamf 威胁实验室提到该威胁行动者与新的 macOS 恶意软件家族 ObjCShellz 有关，后者与另外一款 macOS 恶意软件 RustBucket 一起作为后续阶段的 payload。

微软威胁情报团队发布一系列帖子提到，“Sapphire Sleet 一般会在LinkedIn 等平台上寻找目标，并使用与技能评估相关的诱饵。之后，威胁行动者将与攻击者之间的通信转移到其它平台。”

微软提到，该黑客组织在此前的攻击活动中涉及向托管在如 GitHub 上的合法网站页面直接发送附件或嵌入链接。然而，快速检测和删除 payload 可能迫使 Sapphire Sleet 通过自身的网站网络分发恶意软件。微软提到，“多个恶意域名和子域名托管着这些网站，诱骗招聘人员注册账户。这些网站受到密码保护，阻止分析行为。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~