Ligheder med nyopdaget Linux-malware brugt i Operation DreamJob bekræfter teorien om, at den berygtede nordkoreanske gruppe står bag 3CX-forsyningskædeangrebet
ESET-forskere har opdaget en ny Lazarus Operation DreamJob-kampagne rettet mod Linux-brugere. Operation DreamJob er navnet på en række kampagner, hvor gruppen bruger social engineering-teknikker til at kompromittere sine mål, med falske jobtilbud som lokket. I dette tilfælde var vi i stand til at rekonstruere hele kæden, fra ZIP-filen, der leverer et falsk HSBC-jobtilbud som et lokkemiddel, indtil den endelige nyttelast: SimplexTea Linux-bagdøren distribueret gennem en OpenDrive cloud storage-konto. Så vidt vi ved, er dette den første offentlige omtale af denne store nordkoreanske trusselsaktør, der bruger Linux-malware som en del af denne operation.
Derudover hjalp denne opdagelse os med en høj grad af tillid til at bekræfte, at det seneste 3CX-forsyningskædeangreb faktisk blev udført af Lazarus - et link, der var mistænkt fra begyndelsen og demonstreret af adskillige sikkerhedsforskere siden. I dette blogindlæg bekræfter vi disse resultater og giver yderligere beviser om forbindelsen mellem Lazarus og 3CX-forsyningskædeangrebet.
3CX-forsyningskædeangrebet
3CX er en international VoIP-softwareudvikler og -distributør, der leverer telefonsystemtjenester til mange organisationer. Ifølge sin hjemmeside har 3CX mere end 600,000 kunder og 12,000,000 brugere i forskellige sektorer, herunder rumfart, sundhedspleje og gæstfrihed. Det giver klientsoftware til at bruge dets systemer via en webbrowser, mobilapp eller en desktopapplikation. Sidst i marts 2023 blev det opdaget, at desktopapplikationen til både Windows og macOS indeholdt ondsindet kode, der gjorde det muligt for en gruppe angribere at downloade og køre vilkårlig kode på alle maskiner, hvor applikationen var installeret. Hurtigt blev det fastslået, at denne ondsindede kode ikke var noget, som 3CX selv tilføjede, men at 3CX var kompromitteret, og at dets software blev brugt i et forsyningskædeangreb drevet af eksterne trusselsaktører til at distribuere yderligere malware til specifikke 3CX-kunder.
Denne cyber-hændelse har skabt overskrifter de seneste dage. Oprindeligt rapporteret den 29. martsth, 2023 i en Reddit tråd af en CrowdStrike-ingeniør, efterfulgt af en officiel rapport af CrowdStrike, med stor tillid til, at LABIRINTH CHOLLIMA, virksomhedens kodenavn for Lazarus, stod bag angrebet (men udeladte beviser, der understøtter påstanden). På grund af hændelsens alvor begyndte flere sikkerhedsfirmaer at bidrage med deres resuméer af begivenhederne, nemlig Sophos, Check Point, Broadcom, Trend MicroOg meget mere.
Yderligere blev den del af angrebet, der påvirker systemer, der kører macOS, dækket i detaljer i en Twitter tråd og en blogpost af Patrick Wardle.
Tidslinje for begivenheder
Tidslinjen viser, at gerningsmændene havde planlagt angrebene længe før henrettelse; allerede i december 2022. Det tyder på, at de allerede havde fodfæste i 3CX's netværk sidst sidste år.
Mens den trojaniserede 3CX macOS-applikation viser, at den blev underskrevet i slutningen af januar, så vi ikke den dårlige applikation i vores telemetri før den 14. februarth, 2023. Det er uklart, om den skadelige opdatering til macOS blev distribueret før denne dato.
Selvom ESET-telemetri viser eksistensen af macOS andet-trins nyttelast allerede i februar, havde vi ikke selve prøven eller metadata til at tippe os om dens ondsindethed. Vi inkluderer disse oplysninger for at hjælpe forsvarere med at afgøre, hvor langt tilbage systemer kan være blevet kompromitteret.
Flere dage før angrebet blev offentligt afsløret, blev en mystisk Linux-downloader sendt til VirusTotal. Den downloader en ny Lazarus ondsindet nyttelast til Linux, og vi forklarer dens forhold til angrebet senere i teksten.
Tilskrivning af 3CX-forsyningskædeangrebet til Lazarus
Hvad er allerede offentliggjort
Der er ét domæne, der spiller en væsentlig rolle i vores tilskrivningsbegrundelse: journalide[.]org. Det er nævnt i nogle af leverandørrapporterne, der er linket ovenfor, men dets tilstedeværelse bliver aldrig forklaret. Interessant nok artikler af SentinelOne , FormålSe nævn ikke dette domæne. Heller ikke et blogindlæg af Voleksitet, som selv undlod at give tilskrivning, anførte "Volexity kan i øjeblikket ikke kortlægge den afslørede aktivitet til nogen trusselsaktør". Dets analytikere var blandt de første, der undersøgte angrebet i dybden, og de skabte et værktøj til at udtrække en liste over C&C-servere fra krypterede ikoner på GitHub. Dette værktøj er nyttigt, da angriberne ikke indlejrede C&C-serverne direkte i de mellemliggende faser, men snarere brugte GitHub som en dead drop-resolver. De mellemliggende trin er downloadere til Windows og macOS, som vi betegner som IconicLoaders, og de nyttelaster, de får som henholdsvis IconicStealer og UpdateAgent.
I marts 30th, Joe Desimone, en sikkerhedsforsker fra Elastisk sikkerhed, var blandt de første til at yde, i en Twitter tråd, væsentlige spor om, at de 3CX-drevne kompromiser sandsynligvis er knyttet til Lazarus. Han observerede, at en shellcode-stump stod foran nyttelasten fra d3dcompiler_47.dll ligner AppleJeus loader stubs tilskrevet Lazarus af CISA tilbage i april 2021.
I marts 31st det var være rapporteret at 3CX havde beholdt Mandiant til at levere hændelsesberedskabstjenester i forbindelse med forsyningskædeangrebet.
I april 3rd, Kaspersky, gennem sin telemetri, viste et direkte forhold mellem 3CX-forsyningskædens ofre og implementeringen af en bagdør kaldet Gopuram, begge involverer nyttelast med et fælles navn, guard64.dll. Kaspersky-data viser, at Gopuram er forbundet med Lazarus, fordi det eksisterede side om side på offermaskiner sammen med AppleJeus, malware, der allerede var tilskrevet Lazarus. Både Gopuram og AppleJeus blev observeret i angreb mod et kryptovalutafirma.
Derefter den 11. aprilthCISO for 3CX opsummerede Mandiants foreløbige resultater i en blogpost. Ifølge denne rapport var to Windows-malwareprøver, en shellcode-indlæser kaldet TAXHAUL og en kompleks downloader ved navn COLDCAT, involveret i kompromitteringen af 3CX. Der blev ikke leveret hashes, men Mandiants YARA-regel, kaldet TAXHAUL, udløses også på andre prøver, der allerede er på VirusTotal:
- SHA-1: 2ACC6F1D4656978F4D503929B8C804530D7E7CF6 (ualapi.dll),
- SHA-1: DCEF83D8EE080B54DC54759C59F955E73D67AA65 (wlbsctrl.dll)
Filnavnene, men ikke MD5'erne, af disse eksempler falder sammen med dem fra Kasperskys blogindlæg. 3CX siger dog eksplicit, at COLDCAT adskiller sig fra Gopuram.
Det næste afsnit indeholder en teknisk beskrivelse af den nye Lazarus ondsindede Linux-nyttelast, som vi for nylig analyserede, samt hvordan den hjalp os med at styrke den eksisterende forbindelse mellem Lazarus og 3CX-kompromiset.
Operation DreamJob med en Linux-nyttelast
Lazarus-gruppens Operation DreamJob involverer at nå mål gennem LinkedIn og friste dem med jobtilbud fra brancheledere. Navnet blev opfundet af ClearSky i en papir offentliggjort i august 2020. Det papir beskriver en Lazarus cyberspionagekampagne rettet mod forsvars- og rumfartsvirksomheder. Aktiviteten har overlappet det, vi kalder Operation In(ter)ception, en række cyberspionageangreb, der har været i gang siden mindst September 2019. Den er rettet mod rumfarts-, militær- og forsvarsvirksomheder og bruger specifikke ondsindede, oprindeligt kun Windows-værktøjer. I løbet af juli og august 2022 fandt vi to tilfælde af Operation In(ter)ception målrettet mod macOS. Én malware-prøve blev indsendt til VirusTotal fra Brasilien, og endnu et angreb rettet mod en ESET-bruger i Argentina. For et par uger siden blev en indbygget Linux-nyttelast fundet på VirusTotal med et PDF-lokkemiddel med HSBC-tema. Dette fuldender Lazarus' evne til at målrette mod alle større desktop-operativsystemer.
I marts 20th, en bruger i landet Georgia indsendte et ZIP-arkiv til VirusTotal HSBC jobtilbud.pdf.zip. I betragtning af andre DreamJob-kampagner af Lazarus blev denne nyttelast sandsynligvis distribueret gennem spearphishing eller direkte beskeder på LinkedIn. Arkivet indeholder en enkelt fil: en indbygget 64-bit Intel Linux binær skrevet i Go og navngivet HSBC jobtilbud․pdf.
Interessant nok er filtypen ikke .pdf. Dette skyldes, at det tilsyneladende punkttegn i filnavnet er en leder prik repræsenteret ved U+2024 Unicode-tegnet. Brugen af lederprikken i filnavnet var sandsynligvis et forsøg på at narre filhåndteringen til at behandle filen som en eksekverbar i stedet for en PDF. Dette kan få filen til at køre, når den dobbeltklikkes i stedet for at åbne den med en PDF-fremviser. Ved udførelse vises en lokke-PDF for brugeren ved hjælp af xdg-open, som åbner dokumentet ved hjælp af brugerens foretrukne PDF-fremviser (se figur 3). Vi besluttede at kalde denne ELF-downloader OdicLoader, da den har en lignende rolle som IconicLoaders på andre platforme, og nyttelasten hentes fra OpenDrive.
OdicLoader taber et lokke-PDF-dokument, viser det ved hjælp af systemets standard-PDF-fremviser (se figur 2), og downloader derefter en bagdør i anden fase fra OpenDrive cloud-tjeneste. Den downloadede fil gemmes i ~/.config/guiconfigd (sha-1: 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF). Vi kalder denne anden-trins bagdør SimplexTea.
Som det sidste trin i dens udførelse ændres OdicLoader ~ / .bash_profile, så SimplexTea lanceres med Bash og dets output er slået fra (~/.config/guiconfigd >/dev/null 2>&1).
SimplexTea er en Linux-bagdør skrevet i C++. Som fremhævet i tabel 1 er dens klassenavne meget lig funktionsnavne fundet i en prøve, med filnavn sysnetd, indsendt til VirusTotal fra Rumænien (SHA-1: F6760FB1F8B019AF2304EA6410001B63A1809F1D). På grund af lighederne i klassenavne og funktionsnavne mellem SimplexTea og sysnetd, mener vi, at SimplexTea er en opdateret version, omskrevet fra C til C++.
Tabel 1. Sammenligning af de originale symbolnavne fra to Linux-bagdøre indsendt til VirusTotal
guiconfigd |
sysnetd |
CMsgCmd::Start(ugyldig) | MSG_Cmd |
CmsgSikkertDel::Start(ugyldig) | MSG_Del |
CMsgDir::Start(ugyldig) | MSG_Dir |
CMsgDown::Start(ugyldig) | MSG_Ned |
CMsgExit::Start(ugyldig) | MSG_Afslut |
CMsgReadConfig::Start(ugyldig) | MSG_ReadConfig |
CMsgRun::Start(ugyldig) | MSG_Kør |
CMsgSetPath::Start(ugyldig) | MSG_SetPath |
CMsgSleep::Start(ugyldig) | MSG_Søvn |
CMsgTest::Start(ugyldig) | MSG_Test |
CMsgUp::Start(ugyldig) | MSG_Op |
CMsgWriteConfig::Start(ugyldig) | MSG_WriteConfig |
MSG_GetComInfo | |
CMsgHibernate::Start(void) | |
CMsgKeepCon::Start(void) | |
CMsgZipDown::Start(void) | |
CMsgZip::StartZip(void *) | |
CMsgZip::Start(void) | |
CHttpWrapper::RecvData(uchar *&,uint *,uint,signeret char) | |
RecvMsg | |
CHttpWrapper::Send besked(_MSG_STRUCT *) | Send besked |
CHttpWrapper::SendData(uchar *,uint,uint) | |
CHttpWrapper::SendMsg(uint,uint,uchar *,uint,uint) | |
CHttpWrapper::SendLoginData(uchar *,uint,uchar *&,uint *) |
Hvordan er sysnetd relateret til Lazarus? Det følgende afsnit viser ligheder med Lazarus' Windows-bagdør kaldet BADCALL.
BADCALL til Linux
Vi tilskriver sysnetd til Lazarus på grund af dets ligheder med følgende to filer (og det tror vi sysnetd er en Linux-variant af gruppens bagdør til Windows kaldet BADCALL):
- P2P_DLL.dll (sha-1: 65122E5129FC74D6B5EBAFCC3376ABAE0145BC14), som viser kodeligheder til sysnetd i form af domæner, der bruges som front for falsk TLS-forbindelse (se figur 4). Det blev tilskrevet Lazarus af CISA i December 2017. Fra September 2019, begyndte CISA at kalde nyere versioner af denne malware BADCALL (SHA-1: D288766FA268BC2534F85FD06A5D52264E646C47).
- prtspool (sha-1: 58B0516D28BD7218B1908FB266B8FE7582E22A5F), som viser kodeligheder til sysnetd (se figur 5). Det blev tilskrevet Lazarus af CISA i februar 2021. Bemærk også, at SIMPLESEA, en macOS-bagdør fundet under 3CX-hændelsesvaret, implementerer A5 / 1 stream chiffer.
Denne Linux-version af BADCALL-bagdøren, sysnetd, indlæser dens konfiguration fra en fil med navnet /tmp/vgauthsvclog. Da Lazarus-operatører tidligere har skjult deres nyttelast, antyder brugen af dette navn, som bruges af VMware Guest Authentication-tjenesten, at det målrettede system kan være en virtuel Linux VMware-maskine. Interessant nok er XOR-nøglen i dette tilfælde den samme som den, der blev brugt i SIMPLESEA fra 3CX-undersøgelsen.
Ved at se på de tre 32-bit heltal, 0xC2B45678, 0x90ABCDEFog 0xFE268455 fra figur 5, som repræsenterer en nøgle til en tilpasset implementering af A5/1-chifferet, indså vi, at den samme algoritme og de identiske nøgler blev brugt i Windows-malware, der går tilbage til slutningen af 2014 og var involveret i en af de mest berygtede Lazarus-sager: cybersabotage af Sony Pictures Entertainment (SHA-1: 1C66E67A8531E3FF1C64AE57E6EDFDE7BEF2352D).
Yderligere tilskrivningsdatapunkter
For at opsummere, hvad vi har dækket indtil nu, tilskriver vi 3CX-forsyningskædeangrebet til Lazarus-gruppen med en høj grad af tillid. Dette er baseret på følgende faktorer:
- Malware (indtrængningssættet):
- The IconicLoader (samcli.dll) bruger den samme type stærk kryptering – AES-GCM – som SimplexTea (hvis tilskrivning til Lazarus blev etableret via ligheden med BALLCALL for Linux); kun nøglerne og initialiseringsvektorerne er forskellige.
- Baseret på PE Rich Headers, både IconicLoader (samcli.dll) og IconicStealer (sechost.dll) er projekter af lignende størrelse og kompileret i det samme Visual Studio-miljø som de eksekverbare filer iertutil.dll (sha-1: 5B03294B72C0CAA5FB20E7817002C600645EB475) og iertutil.dll (sha-1: 7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC) rapporteret i Lazarus cryptocurrency kampagner af Voleksitet , microsoft. Vi inkluderer YARA-reglen nedenfor RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023, som markerer alle disse prøver og ingen urelaterede ondsindede eller rene filer, som testet på de aktuelle ESET-databaser og seneste VirusTotal-indsendelser.
- SimplexTea nyttelast indlæser sin konfiguration på en meget lignende måde som SIMPLESEA malware fra 3CX officielle hændelsessvar. XOR-tasten er forskellig (0x5E vs 0x7E), men konfigurationen bærer det samme navn: apdl.jf (se figur 8).
- Infrastruktur:
- Der er delt netværksinfrastruktur med SimplexTea, som den bruger https://journalide[.]org/djour.php som det C&C, hvis domæne er rapporteret i officielle resultater af hændelsens reaktion på 3CX-kompromiset af Mandiant.
Konklusion
3CX-kompromiset har fået meget opmærksomhed fra sikkerhedssamfundet siden det blev offentliggjort den 29. martsth. Denne kompromitterede software, implementeret på forskellige it-infrastrukturer, som tillader download og udførelse af enhver form for nyttelast, kan have ødelæggende konsekvenser. Desværre er ingen softwareudgiver immune over for at blive kompromitteret og utilsigtet distribuere trojanske versioner af deres applikationer.
Det snigende ved et forsyningskædeangreb gør denne metode til at distribuere malware meget tiltalende fra en angribers perspektiv. Lazarus har allerede brugt denne teknik tidligere målrettet mod sydkoreanske brugere af WIZVERA VeraPort-software i 2020. Ligheder med eksisterende malware fra Lazarus-værktøjssættet og med gruppens typiske teknikker tyder stærkt på, at det nylige 3CX-kompromis også er Lazarus' arbejde.
Det er også interessant at bemærke, at Lazarus kan producere og bruge malware til alle større desktop-operativsystemer: Windows, macOS og Linux. Både Windows- og macOS-systemer blev målrettet under 3CX-hændelsen, hvor 3CX's VoIP-software til begge operativsystemer blev trojaniseret til at inkludere ondsindet kode for at hente vilkårlige nyttelaster. I tilfælde af 3CX findes både Windows- og macOS-malwareversioner i anden fase. Denne artikel demonstrerer eksistensen af en Linux-bagdør, der sandsynligvis svarer til SIMPLESEA macOS-malwaren set i 3CX-hændelsen. Vi navngav denne Linux-komponent SimplexTea og viste, at den er en del af Operation DreamJob, Lazarus flagskibskampagne, der bruger jobtilbud til at lokke og kompromittere intetanende ofre.
ESET Research tilbyder private APT-efterretningsrapporter og datafeeds. For eventuelle forespørgsler om denne service, besøg ESET Threat Intelligence .
IoC'er
Filer
SHA-1 | Filnavn | ESET-detekteringsnavn | Beskrivelse |
---|---|---|---|
0CA1723AFE261CD85B05C9EF424FC50290DCE7DF | guiconfigd | Linux/NukeSped.E | SimplexTea til Linux. |
3A63477A078CE10E53DFB5639E35D74F93CEFA81 | HSBC_job_offer․pdf | Linux/NukeSped.E | OdicLoader, en 64-bit downloader til Linux, skrevet i Go. |
9D8BADE2030C93D0A010AA57B90915EB7D99EC82 | HSBC_job_offer.pdf.zip | Linux/NukeSped.E | Et ZIP-arkiv med en Linux-nyttelast fra VirusTotal. |
F6760FB1F8B019AF2304EA6410001B63A1809F1D | sysnetd | Linux/NukeSped.G | BADCALL til Linux. |
Først set | 2023-03-20 12:00:35 |
---|---|
MD5 | CEDB9CDBAD254F60CFB215B9BFF84FB9 |
SHA-1 | 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF |
SHA-256 | EEBB01932DE0B5605DD460CC82844D8693C00EA8AB5FFDF8DBEDE6528C1C18FD |
Filnavn | guiconfigd |
Beskrivelse | SimplexTea til Linux. |
C&C | https://journalide[.]org/djour.php |
downloadet fra | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
Detektion | Linux/NukeSped.E |
PE kompileringstidsstempel | N / A |
Først set | 2023-03-16 07:44:18 |
---|---|
MD5 | 3CF7232E5185109321921046D039CF10 |
SHA-1 | 3A63477A078CE10E53DFB5639E35D74F93CEFA81 |
SHA-256 | 492A643BD1EFDACA4CA125ADE1B606E7BBF00E995AC9115AC84D1C4C59CB66DD |
Filnavn | HSBC_job_offer․pdf |
Beskrivelse | OdicLoader, en 64-bit downloader til Linux, i Go. |
C&C | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
downloadet fra | N / A |
Detektion | Linux/NukeSped.E |
PE kompileringstidsstempel | N / A |
Først set | 2023-03-20 02:23:29 |
---|---|
MD5 | FC41CB8425B6432AF8403959BB59430D |
SHA-1 | 9D8BADE2030C93D0A010AA57B90915EB7D99EC82 |
SHA-256 | F638E5A20114019AD066DD0E856F97FD865798D8FBED1766662D970BEFF652CA |
Filnavn | HSBC_job_offer.pdf.zip |
Beskrivelse | Et ZIP-arkiv med en Linux-nyttelast fra VirusTotal. |
C&C | N / A |
downloadet fra | N / A |
Detektion | Linux/NukeSped.E |
PE kompileringstidsstempel | N / A |
Først set | 2023-02-01 23:47:05 |
---|---|
MD5 | AAC5A52B939F3FE792726A13FF7A1747 |
SHA-1 | F6760FB1F8B019AF2304EA6410001B63A1809F1D |
SHA-256 | CC307CFB401D1AE616445E78B610AB72E1C7FB49B298EA003DD26EA80372089A |
Filnavn | sysnetd |
Beskrivelse | BADCALL til Linux. |
C&C | tcp://23.254.211[.]230 |
downloadet fra | N / A |
Detektion | Linux/NukeSped.G |
PE kompileringstidsstempel | N / A |
Netværk
IP-adresse | Domæne | Hosting udbyder | Først set | Detaljer |
---|---|---|---|---|
23.254.211[.]230 | N / A | Hostwinds LLC. | N / A | C&C-server til BADCALL til Linux |
38.108.185[.]79 38.108.185[.]115 |
od[.]lk | Cogent Communications | 2023-03-16 | Fjernbetjent OpenDrive-lager, der indeholder SimplexTea (/d/NTJfMzg4MDE1NzJf/vxmedia) |
172.93.201[.]88 | journalide[.]org | Nexeon Technologies, Inc. | 2023-03-29 | C&C server til SimplexTea (/djour.php) |
MITRE ATT&CK teknikker
Taktik | ID | Navn | Beskrivelse |
---|---|---|---|
Rekognoscering | T1593.001 | Søg på åbne hjemmesider/domæner: Sociale medier | Lazarus-angribere nærmede sig sandsynligvis et mål med et falsk HSBC-tema jobtilbud, der ville passe til målets interesse. Dette er for det meste blevet gjort via LinkedIn tidligere. |
Ressourceudvikling | T1584.001 | Anskaf Infrastruktur: Domæner | I modsætning til mange tidligere tilfælde af kompromitterede C&C'er brugt i Operation DreamJob, registrerede Lazarus-operatører deres eget domæne til Linux-målet. |
T1587.001 | Udvikle muligheder: Malware | Brugerdefinerede værktøjer fra angrebet er meget sandsynligt udviklet af angriberne. | |
T1585.003 | Opret konti: Cloud-konti | Angriberne var vært for den sidste fase på skytjenesten OpenDrive. | |
T1608.001 | Stagefunktioner: Upload Malware | Angriberne var vært for den sidste fase på skytjenesten OpenDrive. | |
Udførelse | T1204.002 | Brugerudførelse: Ondsindet fil | OdicLoader maskerer sig som en PDF-fil for at narre målet. |
Indledende adgang | T1566.002 | Phishing: Spearphishing Link | Målet modtog sandsynligvis et link til tredjeparts fjernlager med et ondsindet ZIP-arkiv, som senere blev sendt til VirusTotal. |
Vedholdenhed | T1546.004 | Hændelsesudløst udførelse: Unix Shell-konfigurationsændring | OdicLoader ændrer offerets Bash-profil, så SimplexTea lanceres, hver gang Bash stirres, og dens output er slået fra. |
Forsvarsunddragelse | T1134.002 | Adgang Token Manipulation: Opret proces med Token | SimplexTea kan oprette en ny proces, hvis det bliver instrueret af sin C&C-server. |
T1140 | Deobfuscate/Decode Files eller Information | SimplexTea gemmer sin konfiguration i en krypteret apdl.jf. | |
T1027.009 | Uklare filer eller oplysninger: Indlejrede nyttelaster | Dråberne i alle ondsindede kæder indeholder et indlejret dataarray med et ekstra trin. | |
T1562.003 | Impair Defense: Impair Command History Logning | OdicLoader ændrer offerets Bash-profil, så output- og fejlmeddelelserne fra SimplexTea er slået fra. SimplexTea udfører nye processer med samme teknik. | |
T1070.004 | Indikatorfjernelse: Filsletning | SimplexTea har evnen til at slette filer sikkert. | |
T1497.003 | Virtualisering/Sandbox Evasion: Time Based Evasion | SimplexTea implementerer flere tilpassede søvnforsinkelser i sin udførelse. | |
Discovery | T1083 | Opdagelse af filer og mapper | SimplexTea kan vise mappeindholdet sammen med deres navne, størrelser og tidsstempler (efterligner ls-la kommando). |
Kommando og kontrol | T1071.001 | Application Layer Protocol: Webprotokoller | SimplexTea kan bruge HTTP og HTTPS til kommunikation med sin C&C-server ved hjælp af et statisk linket Curl-bibliotek. |
T1573.001 | Krypteret kanal: Symmetrisk kryptografi | SimplexTea krypterer C&C-trafik ved hjælp af AES-GCM-algoritmen. | |
T1132.001 | Datakodning: Standardkodning | SimplexTea koder C&C-trafik ved hjælp af base64. | |
T1090 | proxy | SimplexTea kan bruge en proxy til kommunikation. | |
Eksfiltrering | T1041 | Eksfiltrering over C2-kanal | SimplexTea kan eksfiltrere data som ZIP-arkiver til sin C&C-server. |
Tillæg
Denne YARA-regel markerer klyngen, der indeholder både IconicLoader og IconicStealer, såvel som nyttelasterne, der er implementeret i kryptovalutakampagnerne fra december 2022.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
/* The following rule will only work with YARA version >= 3.11.0 */ import “pe” rule RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023 { meta: description = ” Rich Headers-based rule covering the IconicLoader and IconicStealer from the 3CX supply chain incident, and also payloads from the cryptocurrency campaigns from 2022-12″ author = “ESET Research” date = “2023-03-31” hash = “3B88CDA62CDD918B62EF5AA8C5A73A46F176D18B” hash = “CAD1120D91B812ACAFEF7175F949DD1B09C6C21A” hash = “5B03294B72C0CAA5FB20E7817002C600645EB475” hash = “7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC” condition: pe.rich_signature.toolid(259, 30818) == 9 and pe.rich_signature.toolid(256, 31329) == 1 and pe.rich_signature.toolid(261, 30818) >= 30 and pe.rich_signature.toolid(261, 30818) <= 38 and pe.rich_signature.toolid(261, 29395) >= 134 and pe.rich_signature.toolid(261, 29395) <= 164 and pe.rich_signature.toolid(257, 29395) >= 6 and pe.rich_signature.toolid(257, 29395) <= 14 } |
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Udmøntning af fremtiden med Adryenn Ashley. Adgang her.
- Kilde: https://www.welivesecurity.com/2023/04/20/linux-malware-strengthens-links-lazarus-3cx-supply-chain-attack/
- :har
- :er
- :ikke
- $OP
- 000
- 000 kunder
- 1
- 11
- 20
- 2014
- 2020
- 2021
- 2022
- 2023
- 39
- 7
- 8
- 9
- a
- evne
- I stand
- Om
- over
- Ifølge
- Konto
- Konti
- aktivitet
- aktører
- tilføjet
- Yderligere
- Luftfart
- påvirker
- mod
- algoritme
- Alle
- tillader
- langs med
- allerede
- også
- blandt
- an
- Analytikere
- ,
- En anden
- enhver
- app
- tilsyneladende
- tiltrækkende
- Anvendelse
- applikationer
- nærmer sig
- april
- APT
- Arkiv
- ER
- Argentina
- Array
- artikel
- artikler
- AS
- At
- angribe
- Angreb
- opmærksomhed
- AUGUST
- Godkendelse
- forfatter
- tilbage
- bagdør
- Bagdøre
- opbakning
- Bad
- baseret
- bash
- BE
- Bears
- fordi
- været
- før
- Begyndelse
- bag
- være
- Tro
- jf. nedenstående
- mellem
- både
- Brasilien
- browser
- by
- C + +
- ringe
- kaldet
- Kampagne
- Kampagner
- CAN
- kan ikke
- kapaciteter
- tilfælde
- tilfælde
- Årsag
- kæde
- kæder
- Kanal
- karakter
- cipher
- CISO
- krav
- klasse
- kunde
- Cloud
- Cloud Storage
- Cluster
- kode
- opfundet
- KOM
- Fælles
- Kommunikation
- Kommunikation
- samfund
- Virksomheder
- selskab
- Selskabs
- sammenligning
- Fuldender
- komplekse
- komponent
- kompromis
- Kompromitteret
- betingelse
- gennemført
- tillid
- Konfiguration
- Bekræfte
- tilsluttet
- tilslutning
- kontakt
- indeholder
- indeholder
- indhold
- bidrage
- svarer
- bekræfte
- kunne
- land
- dækket
- dækker
- skabe
- oprettet
- cryptocurrency
- Nuværende
- For øjeblikket
- skik
- Kunder
- data
- databaser
- Dato
- Datoer
- Dage
- døde
- december
- besluttede
- Standard
- Defenders
- Forsvar
- forsinkelser
- leverer
- demonstreret
- demonstrerer
- indsat
- implementering
- dybde
- beskrivelse
- desktop
- detail
- Detektion
- Bestem
- bestemmes
- ødelæggende
- udviklet
- Udvikler
- DID
- afvige
- direkte
- direkte
- videregivelse
- opdaget
- opdagelse
- displays
- distribuere
- distribueret
- distribution
- fordeling
- dokumentet
- domæne
- Domæner
- DOT
- downloade
- downloads
- drevet
- Drop
- Drops
- døbt
- i løbet af
- hver
- Tidligt
- indlejret
- aktiveret
- krypteret
- kryptering
- ingeniør
- Engineering
- Underholdning
- Miljø
- fejl
- ESET Research
- etableret
- Endog
- begivenheder
- bevismateriale
- Udfører
- udførelse
- eksisterende
- Forklar
- forklarede
- udvidelse
- ekstern
- ekstrakt
- faktorer
- falsk
- februar
- Hentet
- få
- Figur
- File (Felt)
- Filer
- endelige
- Fornavn
- passer
- flag
- flagskib
- efterfulgt
- efter
- Til
- formular
- format
- fundet
- fra
- forsiden
- fuld
- funktion
- Georgien
- få
- GitHub
- given
- Go
- gruppe
- Gruppens
- Gæst
- hash
- Have
- he
- headers
- Overskrifter
- sundhedspleje
- hjælpe
- hjulpet
- Skjule
- Høj
- Fremhævet
- historie
- gæstfrihed
- hostede
- Hvordan
- Men
- HSBC
- HTML
- http
- HTTPS
- identisk
- Påvirkninger
- implementering
- redskaber
- importere
- in
- hændelse
- hændelsesrespons
- omfatter
- Herunder
- industrien
- berygtede
- oplysninger
- Infrastruktur
- infrastruktur
- i første omgang
- Forespørgsler
- installeret
- i stedet
- Intel
- Intelligens
- interesse
- interessant
- internationalt
- ind
- undersøge
- undersøgelse
- involverede
- IT
- ITS
- selv
- januar
- Job
- JOE
- juli
- Kaspersky
- Nøgle
- nøgler
- Venlig
- viden
- koreansk
- Efternavn
- Sidste år
- Sent
- lanceret
- lag
- Lazarus
- Lazarus gruppe
- leder
- ledere
- Niveau
- Bibliotek
- Sandsynlig
- LINK
- forbundet
- links
- linux
- Liste
- LLC
- loader
- lastning
- belastninger
- Lang
- Se
- Lot
- maskine
- Maskiner
- MacOS
- lavet
- større
- maerker
- malware
- leder
- Håndtering
- mange
- kort
- Marts
- max-bredde
- Kan..
- nævnte
- beskeder
- Meta
- Metadata
- metode
- microsoft
- måske
- Militær
- Mobil
- Mobil app
- mere
- mest
- flere
- mystisk
- navn
- Som hedder
- nemlig
- navne
- indfødte
- Ingen
- netværk
- Ny
- næste
- Nord
- berygtet
- of
- tilbyde
- Tilbud
- officiel
- on
- ONE
- igangværende
- kun
- åbent
- åbning
- drift
- operativsystemer
- drift
- Operatører
- or
- ordrer
- organisationer
- original
- Andet
- vores
- output
- i løbet af
- egen
- P&E
- side
- Papir
- del
- forbi
- perspektiv
- telefon
- Billeder
- planlagt
- Platforme
- plato
- Platon Data Intelligence
- PlatoData
- Vær venlig
- foretrækkes
- tilstedeværelse
- tidligere
- tidligere
- Forud
- private
- sandsynligvis
- behandle
- Processer
- producere
- Profil
- projekter
- protokol
- give
- forudsat
- giver
- leverer
- proxy
- offentlige
- offentligt
- offentliggjort
- forlægger
- hurtigt
- hellere
- gik op for
- resumé
- modtaget
- nylige
- for nylig
- registreret
- relaterede
- forhold
- fjern
- fjernelse
- indberette
- rapporteret
- Rapporter
- repræsentere
- repræsenteret
- forskning
- forsker
- forskere
- svar
- Revealed
- Rich
- roller
- Rumænien
- Herske
- Kør
- kører
- samme
- sekunder
- Sektion
- Sektorer
- sikkert
- sikkerhed
- Series
- Servere
- tjeneste
- Tjenester
- sæt
- flere
- delt
- Shell
- Shows
- underskrevet
- signifikant
- lignende
- ligheder
- siden
- enkelt
- Størrelse
- størrelser
- søvn
- So
- indtil nu
- Social
- Samfundsteknologi
- Software
- nogle
- noget
- Sony
- Syd
- sydkoreansk
- specifikke
- Stage
- etaper
- standard
- påbegyndt
- Stater
- Trin
- opbevaring
- opbevaret
- forhandler
- strøm
- Styrke
- styrker
- stærk
- kraftigt
- Studio
- Bidrag
- indsendt
- væsentlig
- foreslår
- forsyne
- forsyningskæde
- symbol
- syntaks
- systemet
- Systemer
- bord
- mål
- målrettet
- rettet mod
- mål
- Teknisk
- teknikker
- Teknologier
- end
- at
- deres
- Them
- selv
- Disse
- tredjepart
- denne
- trussel
- trusselsaktører
- tre
- Gennem
- tid
- tidslinje
- tip
- til
- sammen
- token
- værktøj
- værktøjer
- Trafik
- behandling
- udløst
- typisk
- typografi
- unix
- Opdatering
- opdateret
- URL
- us
- brug
- anvendte
- Bruger
- brugere
- udnytte
- Variant
- forskellige
- sælger
- udgave
- via
- Victim
- ofre
- Virtual
- virtuel maskine
- Besøg
- vmware
- vs
- Wardle
- var
- Vej..
- we
- web
- webbrowser
- Hjemmeside
- uger
- GODT
- var
- Hvad
- hvorvidt
- som
- bred
- Wikipedia
- vilje
- vinduer
- med
- Arbejde
- ville
- wrap
- skriftlig
- år
- zephyrnet
- Zip