Ähnlichkeiten mit neu entdeckter Linux-Malware, die in Operation DreamJob verwendet wird, bestätigen die Theorie, dass die berüchtigte nordkoreanische Gruppe hinter dem Angriff auf die Lieferkette von 3CX steckt
ESET-Forscher haben eine neue Lazarus Operation DreamJob-Kampagne entdeckt, die sich an Linux-Benutzer richtet. Operation DreamJob ist der Name für eine Reihe von Kampagnen, bei denen die Gruppe Social-Engineering-Techniken einsetzt, um ihre Ziele zu kompromittieren, mit gefälschten Jobangeboten als Köder. In diesem Fall konnten wir die gesamte Kette rekonstruieren, von der ZIP-Datei, die ein gefälschtes HSBC-Stellenangebot als Köder liefert, bis hin zur endgültigen Nutzlast: der SimplexTea-Linux-Hintertür, die über eine verteilt wird OpenDrive Cloud-Speicherkonto. Unseres Wissens ist dies die erste öffentliche Erwähnung dieses großen nordkoreanischen Bedrohungsakteurs, der Linux-Malware als Teil dieser Operation verwendet.
Darüber hinaus hat uns diese Entdeckung geholfen, mit einem hohen Maß an Vertrauen zu bestätigen, dass der jüngste 3CX-Angriff auf die Lieferkette tatsächlich von Lazarus durchgeführt wurde – eine Verbindung, die von Anfang an vermutet und seitdem von mehreren Sicherheitsforschern nachgewiesen wurde. In diesem Blogpost bestätigen wir diese Ergebnisse und liefern zusätzliche Beweise für die Verbindung zwischen Lazarus und dem 3CX-Supply-Chain-Angriff.
Der 3CX-Supply-Chain-Angriff
3CX ist ein internationaler Entwickler und Vertreiber von VoIP-Software, der Telefonsystemdienste für viele Organisationen bereitstellt. Laut seiner Website hat 3CX mehr als 600,000 Kunden und 12,000,000 Benutzer in verschiedenen Sektoren, darunter Luft- und Raumfahrt, Gesundheitswesen und Gastgewerbe. Es bietet Client-Software zur Nutzung seiner Systeme über einen Webbrowser, eine mobile App oder eine Desktop-Anwendung. Ende März 2023 wurde entdeckt, dass die Desktop-Anwendung sowohl für Windows als auch für macOS bösartigen Code enthielt, der es einer Gruppe von Angreifern ermöglichte, beliebigen Code herunterzuladen und auf allen Computern auszuführen, auf denen die Anwendung installiert war. Schnell wurde festgestellt, dass dieser bösartige Code nicht von 3CX selbst hinzugefügt wurde, sondern dass 3CX kompromittiert und seine Software in einem Lieferkettenangriff verwendet wurde, der von externen Bedrohungsakteuren vorangetrieben wurde, um zusätzliche Malware an bestimmte 3CX-Kunden zu verteilen.
Dieser Cyber-Vorfall hat in den letzten Tagen Schlagzeilen gemacht. Erstmals gemeldet am 29th, 2023 in einem Reddit Thread von einem CrowdStrike-Ingenieur, gefolgt von einem offiziellen Bericht von Menschenmenge, die mit großer Zuversicht feststellten, dass LABIRINTH CHOLLIMA, der Codename des Unternehmens für Lazarus, hinter dem Angriff steckte (jedoch ohne jegliche Beweise, die diese Behauptung stützen würden). Aufgrund der Schwere des Vorfalls begannen mehrere Sicherheitsunternehmen, ihre Zusammenfassungen der Ereignisse beizusteuern, nämlich Sophos, Check Point, Broadcom, Trend MicroUnd vieles mehr.
Darüber hinaus wurde der Teil des Angriffs, der Systeme mit macOS betraf, ausführlich in a behandelt Twitter Faden und ein Blogeintrag von Patrick Wardle.
Zeitleiste der Ereignisse
Der Zeitstrahl zeigt, dass die Täter die Anschläge lange vor der Ausführung geplant hatten; bereits im Dezember 2022. Dies deutet darauf hin, dass sie bereits Ende letzten Jahres im Netzwerk von 3CX Fuß gefasst haben.
Während die trojanisierte 3CX macOS-Anwendung zeigt, dass sie Ende Januar signiert wurde, haben wir die fehlerhafte Anwendung in unserer Telemetrie erst am 14. Februar gesehenth, 2023. Es ist unklar, ob das schädliche Update für macOS vor diesem Datum verteilt wurde.
Obwohl die ESET-Telemetrie bereits im Februar die Existenz der macOS-Nutzlast der zweiten Stufe zeigte, hatten wir weder das Sample selbst noch Metadaten, um uns auf seine Bösartigkeit hinzuweisen. Wir nehmen diese Informationen auf, um Verteidigern dabei zu helfen, festzustellen, wie weit zurückliegende Systeme möglicherweise kompromittiert wurden.
Einige Tage bevor der Angriff öffentlich bekannt wurde, wurde VirusTotal ein mysteriöser Linux-Downloader übermittelt. Es lädt eine neue bösartige Lazarus-Payload für Linux herunter, und wir erklären ihre Beziehung zu dem Angriff später im Text.
Zuordnung des 3CX-Lieferkettenangriffs zu Lazarus
Was ist bereits veröffentlicht
Es gibt einen Bereich, der bei unserer Attributionsüberlegung eine wichtige Rolle spielt: journalistide[.]org. Es wird in einigen der oben verlinkten Anbieterberichte erwähnt, aber seine Anwesenheit wird nie erklärt. Interessanterweise Artikel von Sentinel Eins und ZielSee erwähnen Sie diese Domäne nicht. Ein Blogpost von auch nicht Volexität, die sogar auf eine Namensnennung verzichtete „Volexity kann die offengelegte Aktivität derzeit keinem Bedrohungsakteur zuordnen“. Seine Analysten gehörten zu den ersten, die den Angriff eingehend untersuchten, und sie erstellten ein Tool, um eine Liste von C&C-Servern aus verschlüsselten Symbolen auf GitHub zu extrahieren. Dieses Tool ist nützlich, da die Angreifer die C&C-Server nicht direkt in die Zwischenstufen eingebettet haben, sondern GitHub als Dead-Drop-Resolver verwendet haben. Die Zwischenstufen sind Downloader für Windows und macOS, die wir als IconicLoader bezeichnen, und die Payloads, die sie erhalten, als IconicStealer bzw. UpdateAgent.
Im März 30th, Joe Desimone, ein Sicherheitsforscher aus Elastische Sicherheit, gehörte zu den ersten, die in a Twitter Thread, wesentliche Hinweise darauf, dass die 3CX-getriebenen Kompromisse wahrscheinlich mit Lazarus in Verbindung stehen. Er beobachtete, dass der Nutzlast ein Shellcode-Stub vorangestellt wurde d3dcompiler_47.dll ähnelt AppleJeus Loader Stubs, die Lazarus von zugeschrieben werden CISA zurück im April 2021.
Im März 31st es war Sein berichtet dass 3CX Mandiant damit beauftragt hatte, Incident Response Services im Zusammenhang mit dem Supply-Chain-Angriff bereitzustellen.
Am April 3rd, Kaspersky, zeigte durch seine Telemetrie eine direkte Beziehung zwischen den Opfern der 3CX-Lieferkette und dem Einsatz einer Hintertür namens Gopuram, die beide Nutzlasten mit einem gemeinsamen Namen beinhalteten, Guard64.dll. Kaspersky-Daten zeigen, dass Gopuram mit Lazarus verbunden ist, weil es parallel auf Opfer-Rechnern existierte AppleJeus, Malware, die bereits Lazarus zugeschrieben wurde. Sowohl Gopuram als auch AppleJeus wurden bei Angriffen auf ein Kryptowährungsunternehmen beobachtet.
Dann, am 11th, fasste der CISO von 3CX die Zwischenergebnisse von Mandiant in a Blogeintrag. Laut diesem Bericht waren zwei Windows-Malware-Samples, ein Shellcode-Loader namens TAXHAUL und ein komplexer Downloader namens COLDCAT, an der Kompromittierung von 3CX beteiligt. Es wurden keine Hashes bereitgestellt, aber die YARA-Regel von Mandiant mit dem Namen TAXHAUL wird auch auf anderen Samples ausgelöst, die bereits auf VirusTotal vorhanden sind:
- SHA-1: 2ACC6F1D4656978F4D503929B8C804530D7E7CF6 (ualapi.dll),
- SHA-1: DCEF83D8EE080B54DC54759C59F955E73D67AA65 (wlbsctrl.dll)
Die Dateinamen, aber nicht MD5s, dieser Beispiele stimmen mit denen aus Kasperskys Blogpost überein. 3CX weist jedoch ausdrücklich darauf hin, dass sich COLDCAT von Gopuram unterscheidet.
Der nächste Abschnitt enthält eine technische Beschreibung der neuen schädlichen Lazarus-Linux-Payload, die wir kürzlich analysiert haben, sowie wie sie uns geholfen hat, die bestehende Verbindung zwischen Lazarus und der 3CX-Kompromittierung zu stärken.
Operation DreamJob mit einer Linux-Payload
Die Operation DreamJob der Lazarus-Gruppe beinhaltet die Kontaktaufnahme mit Zielpersonen über LinkedIn und das Anlocken von Stellenangeboten von Branchenführern. Der Name wurde von ClearSky in a geprägt Krepppapier veröffentlicht im August 2020. Dieses Papier beschreibt eine Lazarus-Cyberspionagekampagne, die auf Verteidigungs- und Luft- und Raumfahrtunternehmen abzielt. Die Aktivität überschneidet sich mit dem, was wir Operation In(ter)ception nennen, einer Reihe von Cyberspionage-Angriffen, die mindestens seither andauern September 2019. Es zielt auf Luft- und Raumfahrt-, Militär- und Verteidigungsunternehmen ab und verwendet spezifische bösartige, zunächst nur für Windows verfügbare Tools. Im Juli und August 2022 fanden wir zwei Fälle von Operation In(ter)ception, die auf macOS abzielten. Eine Malware-Probe wurde an gesendet VirusTotal aus Brasilien, und ein weiterer Angriff richtete sich gegen einen ESET-Benutzer in Argentinien. Vor einigen Wochen wurde auf VirusTotal eine native Linux-Payload mit einem HSBC-PDF-Köder gefunden. Dies vervollständigt die Fähigkeit von Lazarus, auf alle wichtigen Desktop-Betriebssysteme abzuzielen.
Im März 20th, ein Benutzer im Land Georgien hat VirusTotal ein ZIP-Archiv mit dem Namen übermittelt HSBC Stellenangebot.pdf.zip. Angesichts anderer DreamJob-Kampagnen von Lazarus wurde diese Nutzlast wahrscheinlich durch Spearphishing oder Direktnachrichten auf LinkedIn verbreitet. Das Archiv enthält eine einzige Datei: eine native 64-Bit-Intel-Linux-Binärdatei, die in Go geschrieben und benannt wurde HSBC Stellenangebot․pdf.
Interessanterweise ist die Dateierweiterung nicht . Pdf. Dies liegt daran, dass das offensichtliche Punktzeichen im Dateinamen a ist Führungspunkt dargestellt durch das Unicode-Zeichen U+2024. Die Verwendung des führenden Punkts im Dateinamen war wahrscheinlich ein Versuch, den Dateimanager dazu zu bringen, die Datei als ausführbare Datei statt als PDF zu behandeln. Dies könnte dazu führen, dass die Datei beim Doppelklick ausgeführt wird, anstatt sie mit einem PDF-Viewer zu öffnen. Bei der Ausführung wird dem Benutzer ein Köder-PDF angezeigt xdg-offen, wodurch das Dokument mit dem bevorzugten PDF-Viewer des Benutzers geöffnet wird (siehe Abbildung 3). Wir haben uns entschieden, diesen ELF-Downloader OdicLoader zu nennen, da er eine ähnliche Rolle wie die IconicLoader auf anderen Plattformen hat und die Nutzdaten von OpenDrive abgerufen werden.
OdicLoader legt ein Decoy-PDF-Dokument ab, zeigt es mit dem standardmäßigen PDF-Viewer des Systems an (siehe Abbildung 2) und lädt dann eine Backdoor der zweiten Stufe von herunter OpenDrive Cloud-Dienst. Die heruntergeladene Datei wird gespeichert in ~/.config/guiconfigd (SHA-1: 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF). Wir nennen diese Hintertür der zweiten Stufe SimplexTea.
Als letzter Schritt seiner Ausführung modifiziert der OdicLoader ~ / .bash_profile, also wird SimplexTea mit Bash gestartet und seine Ausgabe ist stummgeschaltet (~/.config/guiconfigd >/dev/null 2>&1).
SimplexTea ist eine in C++ geschriebene Linux-Hintertür. Wie in Tabelle 1 hervorgehoben, sind seine Klassennamen Funktionsnamen sehr ähnlich, die in einem Beispiel mit Dateinamen zu finden sind sysnetd, eingereicht an VirusTotal aus Rumänien (SHA-1: F6760FB1F8B019AF2304EA6410001B63A1809F1D). Aufgrund der Ähnlichkeiten in Klassennamen und Funktionsnamen zwischen SimplexTea und sysnetd, glauben wir, dass SimplexTea eine aktualisierte Version ist, die von C nach C++ umgeschrieben wurde.
Tabelle 1. Vergleich der ursprünglichen Symbolnamen von zwei Linux-Hintertüren, die an VirusTotal übermittelt wurden
guiconfigd |
sysnetd |
CMsgCmd::Start(nichtig) | MSG_Befehl |
CMsgSecuritydie::Start(nichtig) | MSG_Lösch |
CNachrichtenverzeichnis::Start(nichtig) | MSG_Dir |
CMsgDown::Start(nichtig) | MSG_Down |
CMsgExit::Start(nichtig) | MSG_Exit |
CMsgReadConfig::Start(nichtig) | MSG_ReadConfig |
CMsgRun::Start(nichtig) | MSG_Run |
CMsgSetPath::Start(nichtig) | MSG_SetPath |
CMsgSleep::Start(nichtig) | MSG_Schlaf |
CMsgTest::Start(nichtig) | MSG_Test |
CMsgUp::Start(nichtig) | MSG_Auf |
CMsgWriteConfig::Start(nichtig) | MSG_WriteConfig |
MSG_GetComInfo | |
CMsgHibernate::Start(void) | |
CMsgKeepCon::Start(void) | |
CMsgZipDown::Start(void) | |
CMsgZip::StartZip(void *) | |
CMsgZip::Start(void) | |
CHttpWrapper::RecvData(uchar *&,uint *,uint,signed char) | |
RecvMsg | |
CHttpWrapper::Nachricht senden(_MSG_STRUCT *) | Nachricht senden |
CHttpWrapper::SendData(uchar *,uint,uint) | |
CHttpWrapper::SendMsg(uint,uint,uchar *,uint,uint) | |
CHttpWrapper::SendLoginData(uchar *,uint,uchar *&,uint *) |
Wie ist sysnetd verwandt mit Lazarus? Der folgende Abschnitt zeigt Ähnlichkeiten mit der Windows-Hintertür von Lazarus namens BADCALL.
BADCALL für Linux
Wir schreiben zu sysnetd an Lazarus wegen seiner Ähnlichkeiten mit den folgenden zwei Dateien (und wir glauben, dass sysnetd ist eine Linux-Variante der Backdoor der Gruppe für Windows namens BADCALL):
- P2P_DLL.dll (SHA-1: 65122E5129FC74D6B5EBAFCC3376ABAE0145BC14), die Codeähnlichkeiten zu aufweist sysnetd in Form von Domänen, die als Deckmantel für gefälschte TLS-Verbindungen verwendet werden (siehe Abbildung 4). Es wurde Lazarus von CISA in zugeschrieben Dezember 2017. Von September 2019, CISA hat begonnen, neuere Versionen dieser Malware BADCALL (SHA-1: D288766FA268BC2534F85FD06A5D52264E646C47).
- Druckspule (SHA-1: 58B0516D28BD7218B1908FB266B8FE7582E22A5F), die Codeähnlichkeiten zu aufweist sysnetd (siehe Abbildung 5). Es wurde Lazarus von zugeschrieben CISA im Februar 2021. Beachten Sie auch, dass SIMPLESEA, eine macOS-Hintertür, die während der 3CX-Vorfallreaktion gefunden wurde, implementiert A5 / 1 Stream Chiffre.
Diese Linux-Version der BADCALL-Hintertür, sysnetd, lädt seine Konfiguration aus einer Datei mit dem Namen /tmp/vgauthsvclog. Da Lazarus-Betreiber zuvor ihre Payloads verschleiert haben, deutet die Verwendung dieses Namens, der vom VMware-Gastauthentifizierungsdienst verwendet wird, darauf hin, dass das Zielsystem eine virtuelle Linux-VMware-Maschine sein könnte. Interessanterweise ist der XOR-Schlüssel in diesem Fall der gleiche wie in SIMPLESEA aus der 3CX-Untersuchung.
Betrachten Sie die drei 32-Bit-Ganzzahlen: 0xC2B45678, 0x90ABCDEF und 0xFE268455 Aus Abbildung 5, die einen Schlüssel für eine benutzerdefinierte Implementierung der A5/1-Chiffre darstellen, haben wir festgestellt, dass derselbe Algorithmus und die identischen Schlüssel in Windows-Malware verwendet wurden, die auf Ende 2014 zurückgeht und an einer der größten beteiligt war berüchtigte Lazarus-Fälle: die Cybersabotage von Sony Pictures Entertainment (SHA-1: 1C66E67A8531E3FF1C64AE57E6EDFDE7BEF2352D).
Zusätzliche Attributionsdatenpunkte
Um zusammenzufassen, was wir bisher behandelt haben, schreiben wir den 3CX-Supply-Chain-Angriff mit großer Zuversicht der Lazarus-Gruppe zu. Dies basiert auf folgenden Faktoren:
- Malware (das Intrusion Set):
- Der IconicLoader (samcli.dll) verwendet die gleiche Art starker Verschlüsselung – AES-GCM – wie SimplexTea (dessen Zuordnung zu Lazarus über die Ähnlichkeit mit BALLCALL für Linux hergestellt wurde); nur die Schlüssel und Initialisierungsvektoren unterscheiden sich.
- Basierend auf den PE-Rich-Headern sind sowohl IconicLoader (samcli.dll) und IconicStealer (sechost.dll) sind Projekte ähnlicher Größe und werden in derselben Visual Studio-Umgebung wie die ausführbaren Dateien kompiliert iretutil.dll (SHA-1: 5B03294B72C0CAA5FB20E7817002C600645EB475) und iretutil.dll (SHA-1: 7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC) berichtete in den Lazarus-Kryptowährungskampagnen von Volexität und Microsoft. Wir schließen unten die YARA-Regel ein RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023, das alle diese Proben und keine nicht verwandten schädlichen oder sauberen Dateien kennzeichnet, wie in den aktuellen ESET-Datenbanken und den jüngsten VirusTotal-Einsendungen getestet.
- Die SimplexTea-Payload lädt ihre Konfiguration auf sehr ähnliche Weise wie die SIMPLESEA-Malware aus der offiziellen Vorfallsreaktion von 3CX. Die XOR-Taste unterscheidet sich (0x5E vs 0x7E), aber die Konfiguration trägt den gleichen Namen: apdl.cf (siehe Abbildung 8).
- Infrastruktur:
- Es gibt eine gemeinsame Netzwerkinfrastruktur mit SimplexTea, wie es verwendet wird https://journalide[.]org/djour.php B. C&C, dessen Domain in der gemeldet ist offizielle Ergebnisse der Incident Response der 3CX-Kompromittierung durch Mandiant.
Zusammenfassung
Die 3CX-Kompromittierung hat seit ihrer Offenlegung am 29. März viel Aufmerksamkeit in der Sicherheitsgemeinschaft erregtth. Diese kompromittierte Software, die auf verschiedenen IT-Infrastrukturen bereitgestellt wird und das Herunterladen und Ausführen jeglicher Art von Payload ermöglicht, kann verheerende Auswirkungen haben. Leider ist kein Softwareherausgeber davor gefeit, kompromittiert zu werden und versehentlich trojanisierte Versionen seiner Anwendungen zu verteilen.
Die Heimlichkeit eines Supply-Chain-Angriffs macht diese Methode zur Verbreitung von Malware aus Sicht eines Angreifers sehr attraktiv. Lazarus hat bereits verwendet diese Technik in der Vergangenheit auf südkoreanische Benutzer der WIZVERA VeraPort-Software im Jahr 2020 abzielen. Ähnlichkeiten mit bestehender Malware aus dem Lazarus-Toolset und mit den typischen Techniken der Gruppe deuten stark darauf hin, dass die jüngste 3CX-Kompromittierung auch das Werk von Lazarus ist.
Es ist auch interessant festzustellen, dass Lazarus Malware für alle wichtigen Desktop-Betriebssysteme produzieren und verwenden kann: Windows, macOS und Linux. Sowohl Windows- als auch macOS-Systeme wurden während des 3CX-Vorfalls ins Visier genommen, wobei die VoIP-Software von 3CX für beide Betriebssysteme trojanisiert wurde, um bösartigen Code zum Abrufen beliebiger Payloads einzuschließen. Im Fall von 3CX existieren sowohl Windows- als auch MacOS-Malware-Versionen der zweiten Stufe. Dieser Artikel demonstriert die Existenz einer Linux-Hintertür, die wahrscheinlich der SIMPLESEA macOS-Malware entspricht, die im 3CX-Vorfall gesehen wurde. Wir nannten diese Linux-Komponente SimplexTea und zeigten, dass sie Teil von Operation DreamJob ist, der Flaggschiff-Kampagne von Lazarus, die Jobangebote nutzt, um ahnungslose Opfer anzulocken und zu kompromittieren.
ESET Research bietet private APT-Intelligence-Berichte und Daten-Feeds. Bei Fragen zu diesem Service besuchen Sie bitte die ESET Threat Intelligence
IoCs
Mappen
SHA-1 | Dateiname | ESET-Erkennungsname | Beschreibung |
---|---|---|---|
0CA1723AFE261CD85B05C9EF424FC50290DCE7DF | guiconfigd | Linux/NukeSped.E | SimplexTea für Linux. |
3A63477A078CE10E53DFB5639E35D74F93CEFA81 | HSBC_job_offer․pdf | Linux/NukeSped.E | OdicLoader, ein 64-Bit-Downloader für Linux, geschrieben in Go. |
9D8BADE2030C93D0A010AA57B90915EB7D99EC82 | HSBC_Stellenangebot.pdf.zip | Linux/NukeSped.E | Ein ZIP-Archiv mit einer Linux-Payload von VirusTotal. |
F6760FB1F8B019AF2304EA6410001B63A1809F1D | sysnetd | Linux/NukeSped.G | BADCALL für Linux. |
Zum ersten Mal gesehen | 2023-03-20 12:00:35 |
---|---|
MD5 | CEDB9CDBAD254F60CFB215B9BFF84FB9 |
SHA-1 | 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF |
SHA-256 | EEBB01932DE0B5605DD460CC82844D8693C00EA8AB5FFDF8DBEDE6528C1C18FD |
Dateiname | guiconfigd |
Beschreibung | SimplexTea für Linux. |
C & C | https://journalide[.]org/djour.php |
Heruntergeladen | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
Entdeckung | Linux/NukeSped.E |
Zeitstempel der PE-Kompilierung | N / A |
Zum ersten Mal gesehen | 2023-03-16 07:44:18 |
---|---|
MD5 | 3CF7232E5185109321921046D039CF10 |
SHA-1 | 3A63477A078CE10E53DFB5639E35D74F93CEFA81 |
SHA-256 | 492A643BD1EFDACA4CA125ADE1B606E7BBF00E995AC9115AC84D1C4C59CB66DD |
Dateiname | HSBC_job_offer․pdf |
Beschreibung | OdicLoader, ein 64-Bit-Downloader für Linux, in Go. |
C & C | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
Heruntergeladen | N / A |
Entdeckung | Linux/NukeSped.E |
Zeitstempel der PE-Kompilierung | N / A |
Zum ersten Mal gesehen | 2023-03-20 02:23:29 |
---|---|
MD5 | FC41CB8425B6432AF8403959BB59430D |
SHA-1 | 9D8BADE2030C93D0A010AA57B90915EB7D99EC82 |
SHA-256 | F638E5A20114019AD066DD0E856F97FD865798D8FBED1766662D970BEFF652CA |
Dateiname | HSBC_Stellenangebot.pdf.zip |
Beschreibung | Ein ZIP-Archiv mit einer Linux-Payload von VirusTotal. |
C & C | N / A |
Heruntergeladen | N / A |
Entdeckung | Linux/NukeSped.E |
Zeitstempel der PE-Kompilierung | N / A |
Zum ersten Mal gesehen | 2023-02-01 23:47:05 |
---|---|
MD5 | AAC5A52B939F3FE792726A13FF7A1747 |
SHA-1 | F6760FB1F8B019AF2304EA6410001B63A1809F1D |
SHA-256 | CC307CFB401D1AE616445E78B610AB72E1C7FB49B298EA003DD26EA80372089A |
Dateiname | sysnetd |
Beschreibung | BADCALL für Linux. |
C & C | tcp://23.254.211[.]230 |
Heruntergeladen | N / A |
Entdeckung | Linux/NukeSped.G |
Zeitstempel der PE-Kompilierung | N / A |
Netzwerk
IP-Adresse | Domain | Hosting-Anbieter | Zum ersten Mal gesehen | Details |
---|---|---|---|---|
23.254.211[.]230 | N / A | Hostwinds LLC. | N / A | C&C-Server für BADCALL für Linux |
38.108.185[.]79 38.108.185[.]115 |
od[.]lk | Cogent Communications | 2023-03-16 | Remote-OpenDrive-Speicher mit SimplexTea (/d/NTJfMzg4MDE1NzJf/vxmedia) |
172.93.201[.]88 | journalistide[.]org | Nexeon Technologies, Inc. | 2023-03-29 | C&C-Server für SimplexTea (/djour.php) |
MITRE ATT&CK-Techniken
Taktik | ID | Name und Vorname | Beschreibung |
---|---|---|---|
Aufklärung | T1593.001 | Durchsuchen Sie offene Websites/Domains: Soziale Medien | Lazarus-Angreifer näherten sich einem Ziel wahrscheinlich mit einem gefälschten HSBC-Jobangebot, das dem Interesse des Ziels entsprechen würde. Dies geschah in der Vergangenheit hauptsächlich über LinkedIn. |
Ressourcenentwicklung | T1584.001 | Infrastruktur erwerben: Domänen | Im Gegensatz zu vielen früheren Fällen von kompromittierten C&Cs, die in Operation DreamJob verwendet wurden, registrierten Lazarus-Betreiber ihre eigene Domain für das Linux-Ziel. |
T1587.001 | Entwicklungsfähigkeiten: Malware | Benutzerdefinierte Tools aus dem Angriff werden sehr wahrscheinlich von den Angreifern entwickelt. | |
T1585.003 | Konten einrichten: Cloud-Konten | Die letzte Stufe hosteten die Angreifer auf dem Cloud-Dienst OpenDrive. | |
T1608.001 | Stage-Fähigkeiten: Hochladen von Malware | Die letzte Stufe hosteten die Angreifer auf dem Cloud-Dienst OpenDrive. | |
ausführung | T1204.002 | Benutzerausführung: Schädliche Datei | OdicLoader gibt sich als PDF-Datei aus, um das Ziel zu täuschen. |
Erster Zugriff | T1566.002 | Phishing: Spearphishing-Link | Das Ziel hat wahrscheinlich einen Link zu einem externen Speicher eines Drittanbieters mit einem bösartigen ZIP-Archiv erhalten, das später an VirusTotal übermittelt wurde. |
Beharrlichkeit | T1546.004 | Ereignisausgelöste Ausführung: Änderung der Unix-Shell-Konfiguration | OdicLoader modifiziert das Bash-Profil des Opfers, sodass SimplexTea jedes Mal gestartet wird, wenn Bash gestartet und seine Ausgabe stummgeschaltet wird. |
Verteidigungsflucht | T1134.002 | Zugriffstoken-Manipulation: Prozess mit Token erstellen | SimplexTea kann auf Anweisung seines C&C-Servers einen neuen Prozess erstellen. |
T1140 | Enthüllen/Dekodieren von Dateien oder Informationen | SimplexTea speichert seine Konfiguration verschlüsselt apdl.cf. | |
T1027.009 | Verschleierte Dateien oder Informationen: Eingebettete Payloads | Die Dropper aller bösartigen Ketten enthalten ein eingebettetes Datenarray mit einer zusätzlichen Stufe. | |
T1562.003 | Verteidigung beeinträchtigen: Protokollierung des Befehlsverlaufs beeinträchtigen | OdicLoader modifiziert das Bash-Profil des Opfers, sodass die Ausgabe und die Fehlermeldungen von SimplexTea stummgeschaltet werden. SimplexTea führt neue Prozesse mit der gleichen Technik aus. | |
T1070.004 | Indikatorentfernung: Dateilöschung | SimplexTea hat die Fähigkeit, Dateien sicher zu löschen. | |
T1497.003 | Virtualisierung/Sandbox-Umgehung: Zeitbasierte Umgehung | SimplexTea implementiert mehrere benutzerdefinierte Ruheverzögerungen in seiner Ausführung. | |
Angewandte F&E | T1083 | Datei- und Verzeichniserkennung | SimplexTea kann den Inhalt des Verzeichnisses zusammen mit seinen Namen, Größen und Zeitstempeln auflisten (in Anlehnung an die ls -la Befehl). |
Command and Control | T1071.001 | Application Layer Protocol: Webprotokolle | SimplexTea kann HTTP und HTTPS für die Kommunikation mit seinem C&C-Server verwenden, indem es eine statisch verknüpfte Curl-Bibliothek verwendet. |
T1573.001 | Verschlüsselter Kanal: Symmetrische Kryptographie | SimplexTea verschlüsselt den C&C-Verkehr mit dem AES-GCM-Algorithmus. | |
T1132.001 | Datenkodierung: Standardkodierung | SimplexTea codiert den C&C-Verkehr mit base64. | |
T1090 | Proxy | SimplexTea kann einen Proxy für die Kommunikation verwenden. | |
Exfiltration | T1041 | Exfiltration über C2-Kanal | SimplexTea kann Daten als ZIP-Archive auf seinen C&C-Server exfiltrieren. |
Anhang
Diese YARA-Regel markiert den Cluster, der sowohl IconicLoader als auch IconicStealer enthält, sowie die Payloads, die in den Kryptowährungskampagnen ab Dezember 2022 eingesetzt werden.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
/* The following rule will only work with YARA version >= 3.11.0 */ import “pe” rule RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023 { meta: description = ” Rich Headers-based rule covering the IconicLoader and IconicStealer from the 3CX supply chain incident, and also payloads from the cryptocurrency campaigns from 2022-12″ author = “ESET Research” date = “2023-03-31” hash = “3B88CDA62CDD918B62EF5AA8C5A73A46F176D18B” hash = “CAD1120D91B812ACAFEF7175F949DD1B09C6C21A” hash = “5B03294B72C0CAA5FB20E7817002C600645EB475” hash = “7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC” condition: pe.rich_signature.toolid(259, 30818) == 9 and pe.rich_signature.toolid(256, 31329) == 1 and pe.rich_signature.toolid(261, 30818) >= 30 and pe.rich_signature.toolid(261, 30818) <= 38 and pe.rich_signature.toolid(261, 29395) >= 134 and pe.rich_signature.toolid(261, 29395) <= 164 and pe.rich_signature.toolid(257, 29395) >= 6 and pe.rich_signature.toolid(257, 29395) <= 14 } |
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Die Zukunft prägen mit Adryenn Ashley. Hier zugreifen.
- Quelle: https://www.welivesecurity.com/2023/04/20/linux-malware-strengthens-links-lazarus-3cx-supply-chain-attack/
- :hast
- :Ist
- :nicht
- $UP
- 000
- 000-Kunden
- 1
- 11
- 20
- 2014
- 2020
- 2021
- 2022
- 2023
- 39
- 7
- 8
- 9
- a
- Fähigkeit
- Fähig
- LiveBuzz
- oben
- Nach
- Konto
- Trading Konten
- Aktivität
- Akteure
- hinzugefügt
- Zusätzliche
- Luft- und Raumfahrt
- beeinflussen
- gegen
- Algorithmus
- Alle
- erlaubt
- neben
- bereits
- ebenfalls
- unter
- an
- Business Analysten
- und
- Ein anderer
- jedem
- App
- ersichtlich
- ansprechend
- Anwendung
- Anwendungen
- Annäherung
- April
- APT
- Archiv
- SIND
- Argentina
- Feld
- Artikel
- Artikel
- AS
- At
- Attacke
- Anschläge
- Aufmerksamkeit
- AUGUST
- Authentifizierung
- Autor
- Zurück
- Hintertür-
- Backdoors
- Unterstützung
- Badewanne
- basierend
- bash
- BE
- Bären
- weil
- war
- Bevor
- Anfang
- hinter
- Sein
- Glauben
- unten
- zwischen
- beide
- Brasil
- Browser
- by
- C + +
- rufen Sie uns an!
- namens
- Kampagnen (Campaign)
- Kampagnen
- CAN
- kann keine
- Fähigkeiten
- Häuser
- Fälle
- Verursachen
- Kette
- Ketten
- Kanal
- Charakter
- Chiffre
- KKV
- Anspruch
- Klasse
- Auftraggeber
- Cloud
- Cloud-Speicher
- Cluster
- Code
- geprägt
- COM
- gemeinsam
- Kommunikation
- Kommunikation
- community
- Unternehmen
- Unternehmen
- Unternehmen
- Vergleich
- Wird abgeschlossen
- Komplex
- Komponente
- Kompromiss
- Kompromittiert
- Zustand
- durchgeführt
- Vertrauen
- Konfiguration
- Schichtannahme
- Sie
- Verbindung
- Kontakt
- enthalten
- enthält
- Inhalt
- beitragen
- entspricht
- bestätigen
- könnte
- Land
- bedeckt
- Abdeckung
- erstellen
- erstellt
- kryptowährung
- Strom
- Zur Zeit
- Original
- Kunden
- technische Daten
- Datenbanken
- Datum
- Datum
- Tage
- tot
- Dezember
- entschieden
- Standard
- Defenders
- Militär
- Verzögerungen
- liefert
- Synergie
- zeigt
- Einsatz
- Einsatz
- Tiefe
- Beschreibung
- Desktop
- Detail
- Entdeckung
- Bestimmen
- entschlossen
- verheerend
- entwickelt
- Entwickler:in / Unternehmen
- DID
- abweichen
- Direkt
- Direkt
- Bekanntgabe
- entdeckt
- Entdeckung
- Displays
- verteilen
- verteilt
- verteilen
- Verteilung
- Dokument
- Domain
- Domains
- DOT
- herunterladen
- Downloads
- angetrieben
- Drop
- Drops
- synchronisiert
- im
- jeder
- Früh
- eingebettet
- freigegeben
- verschlüsselt
- Verschlüsselung
- Ingenieur
- Entwicklung
- Unterhaltung
- Arbeitsumfeld
- Fehler
- ESET-Forschung
- etablierten
- Sogar
- Veranstaltungen
- Beweis
- Führt aus
- Ausführung
- vorhandenen
- Erklären
- erklärt
- Erweiterung
- extern
- Extrakt
- Faktoren
- Fälschung
- Februar
- Abgerufen
- wenige
- Abbildung
- Reichen Sie das
- Mappen
- Finale
- Vorname
- passen
- Fahnen
- Flaggschiff
- gefolgt
- Folgende
- Aussichten für
- unten stehende Formular
- Format
- gefunden
- für
- Materials des
- voller
- Funktion
- Georgien
- bekommen
- GitHub
- gegeben
- Go
- Gruppe an
- Gruppen
- GUEST
- Hash-
- Haben
- he
- Überschriften
- Schlagzeilen
- Gesundheitswesen
- Hilfe
- dazu beigetragen,
- Verbergen
- GUTE
- Besondere
- Geschichte
- Gastgewerbe
- gehostet
- Ultraschall
- aber
- HSBC
- HTML
- http
- HTTPS
- identisch
- Einfluss hat
- Implementierung
- implementiert
- importieren
- in
- Zwischenfall
- Vorfallreaktion
- das
- Einschließlich
- Energiegewinnung
- berüchtigt
- Information
- Infrastruktur
- Infrastruktur
- anfänglich
- Anfragen
- installiert
- beantragen müssen
- Intel
- Intelligenz
- Interesse
- interessant
- International
- in
- untersuchen
- Untersuchung
- beteiligt
- IT
- SEINE
- selbst
- Januar
- Job
- JOE
- Juli
- Kaspersky
- Wesentliche
- Tasten
- Art
- Wissen
- Koreanisch
- Nachname
- Letztes Jahr
- Spät
- ins Leben gerufen
- Schicht
- Lazarus
- Lazarus Group
- Führer
- Führung
- Niveau
- Bibliothek
- wahrscheinlich
- LINK
- verknüpft
- Links
- linux
- Liste
- LLC
- Ladeprogramm
- Laden
- Belastungen
- Lang
- aussehen
- Los
- Maschine
- Maschinen
- MacOS
- gemacht
- Dur
- MACHT
- Malware
- Manager
- Manipulation
- viele
- Karte
- März
- max-width
- Kann..
- erwähnt
- Nachrichten
- Meta
- Metadaten
- Methode
- Microsoft
- könnte
- Militär
- Mobil
- App
- mehr
- vor allem warme
- mehrere
- geheimnisvoll
- Name
- Namens
- nämlich
- Namen
- nativen
- Weder
- Netzwerk
- Neu
- weiter
- Norden
- berüchtigt
- of
- bieten
- Angebote
- offiziell
- on
- EINEM
- laufend
- einzige
- XNUMXh geöffnet
- Eröffnung
- die
- Betriebssysteme
- Betrieb
- Betreiber
- or
- Auftrag
- Organisationen
- Original
- Andere
- UNSERE
- Möglichkeiten für das Ausgangssignal:
- übrig
- besitzen
- SPORT
- Seite
- Papier
- Teil
- passt
- Perspektive
- Telefon
- Fotos
- geplant
- Plattformen
- Plato
- Datenintelligenz von Plato
- PlatoData
- Bitte
- bevorzugt
- Präsenz
- früher
- vorher
- Vor
- privat
- wahrscheinlich
- Prozessdefinierung
- anpassen
- produziert
- Profil
- Projekte
- Protokoll
- die
- vorausgesetzt
- bietet
- Bereitstellung
- Stellvertreter
- Öffentlichkeit
- öffentlich
- veröffentlicht
- Herausgeber
- schnell
- lieber
- realisiert
- rekapitulieren
- Received
- kürzlich
- kürzlich
- eingetragen
- bezogene
- Beziehung
- entfernt
- Entfernung
- berichten
- Berichtet
- Meldungen
- vertreten
- vertreten
- Forschungsprojekte
- Forscher
- Forscher
- Antwort
- Revealed
- Reiches
- Rollen
- Rumänien
- Regel
- Führen Sie
- Laufen
- gleich
- Sekunden
- Abschnitt
- Sektoren
- sicher
- Sicherheitdienst
- Modellreihe
- Fertige Server
- Lösungen
- kompensieren
- mehrere
- von Locals geführtes
- Schale
- Konzerte
- unterzeichnet
- signifikant
- ähnlich
- Ähnlichkeiten
- da
- Single
- Größe
- Größen
- schlafen
- So
- bis jetzt
- Social Media
- Soziale Technik
- Software
- einige
- etwas
- Sony
- Süd
- Südkorea
- spezifisch
- Stufe
- Stufen
- Standard
- begonnen
- Staaten
- Schritt
- Lagerung
- gelagert
- Läden
- Strom
- Stärke
- Stärkt
- stark
- starker
- Studio Adressen
- Einsendungen
- eingereicht
- wesentlich
- Schlägt vor
- liefern
- Supply Chain
- Symbol
- Syntax
- System
- Systeme und Techniken
- Tabelle
- Target
- gezielt
- Targeting
- Ziele
- Technische
- Techniken
- Technologies
- als
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- Sie
- sich
- Diese
- basierte Online-to-Offline-Werbezuordnungen von anderen gab.
- fehlen uns die Worte.
- Bedrohung
- Bedrohungsakteure
- nach drei
- Durch
- Zeit
- Timeline
- Tip
- zu
- gemeinsam
- Zeichen
- Werkzeug
- Werkzeuge
- der Verkehr
- Bearbeitung
- ausgelöst
- typisch
- Typografie
- Unix
- Aktualisierung
- aktualisiert
- URL
- us
- -
- benutzt
- Mitglied
- Nutzer
- Nutzen
- Variante
- verschiedene
- Verkäufer
- Version
- Opfer
- Opfer
- Assistent
- virtuellen Maschine
- Besuchen Sie
- VMware
- vs
- Wardle
- wurde
- Weg..
- we
- Netz
- Web-Browser
- Webseite
- Wochen
- GUT
- waren
- Was
- ob
- welche
- breit
- Wikipedia
- werden wir
- Fenster
- mit
- Arbeiten
- würde
- wickeln
- geschrieben
- Jahr
- Zephyrnet
- PLZ