Sarnasused operatsioonis DreamJob kasutatud äsja avastatud Linuxi pahavaraga kinnitavad teooriat, et 3CX tarneahela rünnaku taga on kurikuulus Põhja-Koreaga ühinenud rühmitus.
ESET-i teadlased avastasid uue Lazarus Operation DreamJobi kampaania, mis on suunatud Linuxi kasutajatele. Operatsioon DreamJob on kampaaniate seeria nimi, mille käigus rühm kasutab sotsiaalse inseneri tehnikaid, et oma eesmärke ohustada, ahvatledes võltsitud tööpakkumistega. Sel juhul suutsime rekonstrueerida kogu ahela ZIP-failist, mis pakub peibutusvahendina võltsitud HSBC tööpakkumist, kuni lõpliku kasuliku koormuseni: SimplexTea Linuxi tagauks, mida levitati OpenDrive pilvesalvestuse konto. Meile teadaolevalt on see esimene avalik mainimine selle suure Põhja-Koreaga seotud ohutegija kohta, kes kasutab selle operatsiooni raames Linuxi pahavara.
Lisaks aitas see avastus meil suure kindlusega kinnitada, et hiljutise 3CX-i tarneahela rünnaku korraldas tegelikult Lazarus – seost kahtlustati algusest peale ja mida on pärast seda näidanud mitmed turvauurijad. Selles ajaveebipostituses kinnitame neid leide ja esitame täiendavaid tõendeid seose kohta Lazaruse ja 3CX tarneahela rünnaku vahel.
3CX tarneahela rünnak
3CX on rahvusvaheline VoIP-tarkvara arendaja ja turustaja, mis pakub telefonisüsteemiteenuseid paljudele organisatsioonidele. Oma veebisaidi andmetel on 3CX-l enam kui 600,000 12,000,000 klienti ja 2023 3 3 kasutajat erinevates sektorites, sealhulgas lennunduses, tervishoius ja hotellinduses. See pakub klienditarkvara oma süsteemide kasutamiseks veebibrauseri, mobiilirakenduse või töölauarakenduse kaudu. 3. aasta märtsi lõpus avastati, et nii Windowsi kui ka macOS-i töölauarakendus sisaldas pahatahtlikku koodi, mis võimaldas ründajate rühmal alla laadida ja käivitada suvalist koodi kõigis masinates, kuhu rakendus installiti. Kiiresti tehti kindlaks, et XNUMXCX ei lisanud seda pahatahtlikku koodi ise, vaid et XNUMXCX oli ohustatud ja selle tarkvara kasutati tarneahela rünnakus, mida juhtisid välised ohutegurid, et levitada täiendavat pahavara konkreetsetele XNUMXCX klientidele.
See küberintsident on viimastel päevadel olnud pealkirju. Esialgu teatati 29. märtsilth, 2023 aastal a reddit lõime CrowdStrike'i inseneri poolt, millele järgneb ametlik aruanne CrowdStrike, väites suure kindlusega, et rünnaku taga oli LABIRINTH CHOLLIMA, ettevõtte Lazaruse koodnimi (kuid jättes välja kõik väidet toetavad tõendid). Juhtunu tõsiduse tõttu hakkasid mitmed turvafirmad esitama oma sündmuste kokkuvõtteid, nimelt Sophos, Check Point, Broadcom, Trend MicroJa palju muud.
Lisaks käsitleti üksikasjalikult rünnaku osa, mis mõjutab macOS-i töötavaid süsteeme puperdama niit ja a blogpost autor Patrick Wardle.
Sündmuste ajakava
Ajaskaala näitab, et kurjategijad kavandasid rünnakud ammu enne hukkamist; juba 2022. aasta detsembris. See viitab sellele, et neil oli juba eelmise aasta lõpus 3CX-i võrgus tugi.
Kuigi troojastatud 3CX macOS-i rakendus näitab, et see allkirjastati jaanuari lõpus, ei näinud me oma telemeetrias halba rakendust enne 14. veebruarith, 2023. On ebaselge, kas macOS-i pahatahtlikku värskendust levitati enne seda kuupäeva.
Kuigi ESET-i telemeetria näitab macOS-i teise etapi kasuliku koormuse olemasolu juba veebruaris, ei olnud meil näidist ennast ega metaandmeid, mis annaksid meile vihjeid selle pahatahtlikkuse kohta. Lisame selle teabe, et aidata kaitsjatel kindlaks teha, kui kaugel süsteemid võisid ohtu sattuda.
Mitu päeva enne rünnaku avalikustamist esitati VirusTotalile salapärane Linuxi allalaadija. See laadib Linuxi jaoks alla uue Lazaruse pahatahtliku koormuse ja me selgitame selle seost rünnakuga hiljem tekstis.
3CX tarneahela rünnaku omistamine Lazarusele
Mis on juba avaldatud
Üks domeen mängib meie omistamispõhimõttes olulist rolli: Journalide[.]org. Seda mainitakse mõnes ülaltoodud müüja aruandes, kuid selle olemasolu pole kunagi selgitatud. Huvitaval kombel artiklid autor SentinelOne ja EesmärkVaata ära maini seda domeeni. Seda ei tee ka blogipostitus Volexity, mis isegi hoidus omistamast, märkides "Volexity ei saa praegu avalikustatud tegevust ühelegi ohus osalejale seostada". Selle analüütikud olid esimeste seas, kes rünnakut põhjalikult uurisid ja lõid tööriista C&C serverite loendi ekstraheerimiseks GitHubi krüptitud ikoonidest. See tööriist on kasulik, kuna ründajad ei manustanud C&C servereid otse vaheetappides, vaid kasutasid GitHubi surnud kukkumise lahendajana. Vaheetapid on Windowsi ja macOS-i allalaadijad, mida tähistame kui IconicLoaders, ning kasulikud koormused, mida nad saavad vastavalt kui IconicStealer ja UpdateAgent.
Märtsis 30th, Joe Desimone, turvateadlane aastast Elastne turvalisus, oli esimeste seas, kes pakkus, aastal a puperdama lõime, olulisi vihjeid selle kohta, et 3CX-i juhitud kompromissid on tõenäoliselt seotud Lazarusega. Ta täheldas, et kasuliku koorma ees oli shellkoodi tünn d3dcompiler_47.dll on sarnane AppleJeuse laadurite tünnidega, mille Lazarus omistas CISA tagasi aprillis 2021.
Märtsis 31st see oli on teatatud et 3CX jättis Mandianti tarneahela rünnakuga seotud juhtumitele reageerimise teenuste pakkumiseks.
Aprillis 3rd, Kaspersky, näitas oma telemeetria kaudu otsest seost 3CX tarneahela ohvrite ja Gopurami nimelise tagaukse kasutuselevõtu vahel, mis mõlemad hõlmasid üldnimetusega kasulikke koormusi, guard64.dll. Kaspersky andmed näitavad, et Gopuram on Lazarusega ühendatud, kuna see eksisteeris koos ohvrite masinatega AppleJeus, pahavara, mis oli juba Lazarusele omistatud. Nii Gopurami kui ka AppleJeusi täheldati krüptovaluutaettevõtte vastu suunatud rünnakutes.
Siis, 11. aprillilth, võttis 3CX-i CISO Mandianti vahepealsed järeldused kokku a blogpost. Selle aruande kohaselt olid 3CX-i kompromissiga seotud kaks Windowsi pahavara näidist, shellcode loader nimega TAXHAUL ja kompleksne allalaadija nimega COLDCAT. Räsi ei pakutud, kuid Mandianti YARA reegel nimega TAXHAUL käivitab ka teiste VirusTotalis juba proovide puhul:
- SHA-1: 2ACC6F1D4656978F4D503929B8C804530D7E7CF6 (ualapi.dll),
- SHA-1: DCEF83D8EE080B54DC54759C59F955E73D67AA65 (wlbsctrl.dll)
Nende näidiste failinimed, kuid mitte MD5-d, langevad kokku Kaspersky ajaveebipostituses olevatega. 3CX ütleb aga selgesõnaliselt, et COLDCAT erineb Gopuramist.
Järgmine jaotis sisaldab hiljuti analüüsitud uue Lazaruse pahatahtliku Linuxi kasuliku koormuse tehnilist kirjeldust ning seda, kuidas see aitas meil tugevdada olemasolevat seost Lazaruse ja 3CX-i kompromissi vahel.
Operatsioon DreamJob Linuxi kasuliku koormusega
Lazaruse grupi operatsioon DreamJob hõlmab eesmärkidele lähenemist LinkedIni kaudu ja nende ahvatlemist valdkonna juhtide tööpakkumistega. Nime lõi ClearSky aastal paber avaldati augustis 2020. Selles artiklis kirjeldatakse Lazaruse küberspionaažikampaaniat, mis on suunatud kaitse- ja kosmoseettevõtetele. Tegevus kattub operatsiooniga In(ter)ception, küberspionaažirünnakute jada, mis on kestnud vähemalt alates september 2019. See sihib kosmose-, sõja- ja kaitseettevõtteid ning kasutab spetsiifilisi pahatahtlikke, esialgu ainult Windowsi tööriistu. 2022. aasta juulis ja augustis leidsime kaks MacOS-i sihtimist operatsiooni In(ter)ception. Üks pahavara näidis esitati VirusTotal Brasiiliast ja veel üks rünnak oli suunatud ESET-i kasutajale Argentinas. Mõni nädal tagasi leiti VirusTotalist native Linuxi kasulik koormus koos HSBC-teemalise PDF-meibutiga. See täiendab Lazaruse võimet sihtida kõiki suuremaid töölaua operatsioonisüsteeme.
Märtsis 20th, esitas Gruusia riigis asuv kasutaja VirusTotalile ZIP-arhiivi nimega HSBC tööpakkumine.pdf.zip. Arvestades teisi Lazaruse DreamJobi kampaaniaid, levitati seda koormust tõenäoliselt õngepüügi või otsesõnumite kaudu LinkedInis. Arhiiv sisaldab ühte faili: natiivse 64-bitise Inteli Linuxi binaarfaili, mis on kirjutatud Go ja nimega HSBC tööpakkumine․pdf.
Huvitav on see, et faililaiend ei ole . Pdf. Selle põhjuseks on asjaolu, et failinime näiv punktmärk on a liider punkt mida tähistab U+2024 Unicode märk. Juhtpunkti kasutamine failinimes oli tõenäoliselt katse meelitada failihaldurit käsitlema faili PDF-i asemel käivitatava failina. See võib põhjustada faili käivitamise topeltklõpsamisel selle asemel, et seda PDF-vaaturiga avada. Täitmisel kuvatakse kasutajale peibutus-PDF-fail xdg-avatud, mis avab dokumendi, kasutades kasutaja eelistatud PDF-vaaturit (vt joonis 3). Otsustasime seda ELF-i allalaadijat nimetada OdicLoaderiks, kuna sellel on teistel platvormidel samasugune roll nagu IconicLoaderil ja kasulik koormus hangitakse OpenDrive'ist.
OdicLoader loobub peibutus-PDF-dokumendist, kuvab selle süsteemi vaike-PDF-vaaturi abil (vt joonis 2) ja laadib seejärel alla teise etapi tagaukse OpenDrive pilveteenus. Allalaaditud fail salvestatakse ~/.config/guiconfigd (SHA-1: 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF). Nimetame seda teise astme tagaust SimplexTea.
Selle täitmise viimase sammuna muudab OdicLoader ~ / .bash_profiil, nii et SimplexTea käivitatakse koos Bashiga ja selle väljund on vaigistatud (~/.config/guiconfigd >/dev/null 2>&1).
SimplexTea on C++ keeles kirjutatud Linuxi tagauks. Nagu tabelis 1 on esile tõstetud, on selle klassinimed väga sarnased näidises leiduvate funktsioonide nimedega failinimega sysnetd, saadetud VirusTotalile Rumeeniast (SHA-1: F6760FB1F8B019AF2304EA6410001B63A1809F1D). Klasside ja funktsioonide nimede sarnasuste tõttu SimplexTea ja sysnetdUsume, et SimplexTea on uuendatud versioon, mis on C-st C++-ks ümber kirjutatud.
Tabel 1. VirusTotalile esitatud kahe Linuxi tagaukse algsete sümbolite nimede võrdlus
guiconfigd |
sysnetd |
CMsgCmd::Alusta(tühine) | MSG_Cmd |
CSõnumKindlustamaDel::Alusta(tühine) | MSG_Del |
CMsgDir::Alusta(tühine) | MSG_Dir |
CMsgDown::Alusta(tühine) | MSG_Alla |
CMsgExit::Alusta(tühine) | MSG_Välju |
CMsgReadConfig::Alusta(tühine) | MSG_ReadConfig |
CMsgRun::Alusta(tühine) | MSG_Run |
CMsgSetPath::Alusta(tühine) | MSG_SetPath |
CSõnum Sleep::Alusta(tühine) | MSG_Sleep |
CMsgTest::Alusta(tühine) | MSG_Test |
CMsgUp::Alusta(tühine) | MSG_Up |
CMsgWriteConfig::Alusta(tühine) | MSG_WriteConfig |
MSG_GetComInfo | |
CMsgHibernate::Start(tühine) | |
CMsgKeepCon::Start(tühine) | |
CMsgZipDown::Start(tühine) | |
CMsgZip::StartZip(tühine *) | |
CMsgZip::Start(tühine) | |
CHttpWrapper::RecvData(uchar *&,uint *,uint,allkirjaga täht) | |
RecvMsg | |
CHttpWrapper::Saada sõnum(_MSG_STRUCT *) | Saada sõnum |
CHttpWrapper::SendData(uchar *,uint,uint) | |
CHttpWrapper::SendMsg(uint,uint,uchar *,uint,uint) | |
CHttpWrapper::SendLoginData(uchar *,uint,uchar *&,uint *) |
kuidas on sysnetd seotud Lazarusega? Järgmine jaotis näitab sarnasusi Lazaruse Windowsi tagauksega BADCALL.
BADCALL Linuxi jaoks
Me omistame sysnetd Lazarusele, kuna see sarnaneb kahe järgmise failiga (ja me usume, et sysnetd on grupi Windowsi tagaukse Linuxi variant nimega BADCALL):
- P2P_DLL.dll (SHA-1: 65122E5129FC74D6B5EBAFCC3376ABAE0145BC14), mis näitab koodi sarnasusi sysnetd võlts-TLS-ühenduse esiküljena kasutatavate domeenide kujul (vt joonis 4). aastal omistas CISA selle Lazarusele detsember 2017. Pärit september 2019, hakkas CISA selle pahavara uuemaid versioone kutsuma BADCALL (SHA-1: D288766FA268BC2534F85FD06A5D52264E646C47).
- prtspool (SHA-1: 58B0516D28BD7218B1908FB266B8FE7582E22A5F), mis näitab koodi sarnasusi sysnetd (vt joonis 5). Selle omistas Laatsarusele CISA 2021. aasta veebruaris. Pange tähele ka seda, et SIMPLESEA, macOS-i tagauks, mis leiti 3CX-i intsidendile reageerimise ajal, rakendab A5 / 1 voo šifr.
See BADCALLi tagaukse Linuxi versioon, sysnetd, laadib selle konfiguratsiooni failist nimega /tmp/vgauthsvclog. Kuna Lazaruse operaatorid on varem oma kasulikke koormusi varjanud, viitab selle nime kasutamine, mida kasutab VMware Guest Authentication teenus, et sihitud süsteem võib olla Linuxi VMware virtuaalmasin. Huvitav on see, et antud juhul on XOR-võti sama, mis SIMPLESEA-s 3CX-i uurimisel kasutatud.
Vaadates kolme 32-bitist täisarvu, 0xC2B45678, 0x90ABCDEFja 0xFE268455 jooniselt 5, mis kujutab A5/1 šifri kohandatud juurutamise võtit, saime aru, et sama algoritmi ja identseid võtmeid kasutati Windowsi pahavara puhul, mis pärineb 2014. aasta lõpust ja oli seotud ühe kurikuulsad Lazaruse juhtumid: Sony Pictures Entertainmenti kübersabotaaž (SHA-1: 1C66E67A8531E3FF1C64AE57E6EDFDE7BEF2352D).
Täiendavad omistamisandmepunktid
Kokkuvõtteks, mida oleme seni käsitlenud, omistame 3CX tarneahela rünnaku Lazaruse grupile suure kindlustundega. See põhineb järgmistel teguritel:
- Pahavara (sissetungimise komplekt):
- IconicLoader (samcli.dll) kasutab sama tüüpi tugevat krüptimist – AES-GCM – nagu SimplexTea (mille omistamine Lazarusele tehti sarnasuse kaudu Linuxi jaoks mõeldud BALLCALLiga); erinevad ainult võtmed ja lähtestamisvektorid.
- PE rikastel päistel põhinevad mõlemad IconicLoader (samcli.dll) ja IconicStealer (sechost.dll) on sarnase suurusega projektid, mis on kompileeritud samas Visual Studio keskkonnas kui käivitatavad failid iertutil.dll (SHA-1: 5B03294B72C0CAA5FB20E7817002C600645EB475) Ja iertutil.dll (SHA-1: 7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC) teatas Lazaruse krüptovaluutakampaaniates Volexity ja Microsoft. Toome allpool YARA reegli RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023, mis märgistab kõik need näidised ja ei mingeid sõltumatuid pahatahtlikke ega puhtaid faile, nagu on testitud praegustes ESET-i andmebaasides ja hiljutistes VirusTotali esildistes.
- SimplexTea kasulik koormus laadib oma konfiguratsiooni väga sarnaselt SIMPLESEA pahavaraga 3CX ametlikust intsidendi vastusest. XOR-klahv erineb (0x5E vs 0x7E), kuid konfiguratsioon kannab sama nime: apdl.cf (vt joonis 8).
- Infrastruktuur:
- SimplexTeaga on jagatud võrguinfrastruktuur, nagu see kasutab https://journalide[.]org/djour.php nagu see C&C, mille domeen on esitatud ametlikud tulemused Mandianti 3CX-i kompromissi intsidendile reageerimisest.
Järeldus
3CX-i kompromiss on pärast selle avalikustamist 29. märtsil pälvinud turvaringkondades palju tähelepanu.th. Sellel eri IT-infrastruktuuridel juurutatud ohustatud tarkvaral, mis võimaldab alla laadida ja käivitada igasugust kasulikku koormust, võib olla laastav mõju. Kahjuks pole ükski tarkvara väljaandja kaitstud selle eest, et teda võidakse ohustada ja levitada tahtmatult oma rakenduste troojastatud versioone.
Tarneahela rünnaku vargus muudab selle pahavara levitamise meetodi ründaja vaatenurgast väga ahvatlevaks. Lazarus on juba kasutanud seda tehnikat minevikus, sihtides 2020. aastal WIZVERA VeraPort tarkvara Lõuna-Korea kasutajaid. Sarnasused Lazaruse tööriistakomplekti olemasoleva pahavara ja grupi tüüpiliste tehnikatega viitavad tugevalt sellele, et hiljutine 3CX-i kompromiss on samuti Lazaruse töö.
Samuti on huvitav märkida, et Lazarus suudab toota ja kasutada pahavara kõigi suuremate töölaua operatsioonisüsteemide jaoks: Windows, macOS ja Linux. 3CX-i intsidendi ajal olid sihikule nii Windowsi kui ka macOS-i süsteemid, kusjuures mõlema operatsioonisüsteemi 3CX-i VoIP-tarkvara troojaseeriti, et sisaldada pahatahtlikku koodi suvalise kasuliku koormuse toomiseks. 3CX-i puhul on olemas nii Windowsi kui ka macOS-i teise etapi pahavara versioonid. See artikkel demonstreerib Linuxi tagaukse olemasolu, mis tõenäoliselt vastab 3CX-i juhtumis nähtud SIMPLESEA macOS-i pahavarale. Panime sellele Linuxi komponendile nimeks SimplexTea ja näitasime, et see on osa operatsioonist DreamJob, Lazaruse lipulaev, mis kasutab pahaaimamatute ohvrite meelitamiseks ja kompromissideks tööpakkumisi.
ESET Research pakub privaatseid APT luurearuandeid ja andmevooge. Kui teil on selle teenuse kohta küsimusi, külastage aadressi ESET Threat Intelligence lehel.
IoC-d
Faile
SHA-1 | Faili | ESET-i tuvastamise nimi | Kirjeldus |
---|---|---|---|
0CA1723AFE261CD85B05C9EF424FC50290DCE7DF | guiconfigd | Linux/NukeSped.E | SimplexTea Linuxi jaoks. |
3A63477A078CE10E53DFB5639E35D74F93CEFA81 | HSBC_tööpakkumine․pdf | Linux/NukeSped.E | OdicLoader, 64-bitine Linuxi allalaadija, mis on kirjutatud Go-s. |
9D8BADE2030C93D0A010AA57B90915EB7D99EC82 | HSBC_job_offer.pdf.zip | Linux/NukeSped.E | VirusTotalist pärit ZIP-arhiiv Linuxi kasuliku koormusega. |
F6760FB1F8B019AF2304EA6410001B63A1809F1D | sysnetd | Linux/NukeSped.G | BADCALL Linuxi jaoks. |
Esimest korda nähtud | 2023-03-20 12:00:35 |
---|---|
MD5 | CEDB9CDBAD254F60CFB215B9BFF84FB9 |
SHA-1 | 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF |
SHA-256 | EEBB01932DE0B5605DD460CC82844D8693C00EA8AB5FFDF8DBEDE6528C1C18FD |
Faili | guiconfigd |
Kirjeldus | SimplexTea Linuxi jaoks. |
C & C | https://journalide[.]org/djour.php |
Alla laaditud | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
Detection | Linux/NukeSped.E |
PE koostamise ajatempel | N / A |
Esimest korda nähtud | 2023-03-16 07:44:18 |
---|---|
MD5 | 3CF7232E5185109321921046D039CF10 |
SHA-1 | 3A63477A078CE10E53DFB5639E35D74F93CEFA81 |
SHA-256 | 492A643BD1EFDACA4CA125ADE1B606E7BBF00E995AC9115AC84D1C4C59CB66DD |
Faili | HSBC_tööpakkumine․pdf |
Kirjeldus | OdicLoader, 64-bitine Linuxi allalaadija, Go-s. |
C & C | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
Alla laaditud | N / A |
Detection | Linux/NukeSped.E |
PE koostamise ajatempel | N / A |
Esimest korda nähtud | 2023-03-20 02:23:29 |
---|---|
MD5 | FC41CB8425B6432AF8403959BB59430D |
SHA-1 | 9D8BADE2030C93D0A010AA57B90915EB7D99EC82 |
SHA-256 | F638E5A20114019AD066DD0E856F97FD865798D8FBED1766662D970BEFF652CA |
Faili | HSBC_job_offer.pdf.zip |
Kirjeldus | VirusTotalist pärit ZIP-arhiiv Linuxi kasuliku koormusega. |
C & C | N / A |
Alla laaditud | N / A |
Detection | Linux/NukeSped.E |
PE koostamise ajatempel | N / A |
Esimest korda nähtud | 2023-02-01 23:47:05 |
---|---|
MD5 | AAC5A52B939F3FE792726A13FF7A1747 |
SHA-1 | F6760FB1F8B019AF2304EA6410001B63A1809F1D |
SHA-256 | CC307CFB401D1AE616445E78B610AB72E1C7FB49B298EA003DD26EA80372089A |
Faili | sysnetd |
Kirjeldus | BADCALL Linuxi jaoks. |
C & C | tcp://23.254.211[.]230 |
Alla laaditud | N / A |
Detection | Linux/NukeSped.G |
PE koostamise ajatempel | N / A |
võrk
IP aadress | Domeen | Hostimise pakkuja | Esimest korda nähtud | Detailid |
---|---|---|---|---|
23.254.211[.]230 | N / A | Hostwinds LLC. | N / A | C&C server BADCALLi jaoks Linuxi jaoks |
38.108.185[.]79 38.108.185[.]115 |
od[.]lk | Kindel kommunikatsioon | 2023-03-16 | OpenDrive'i kaugmälu, mis sisaldab SimplexTeat (/d/NTJfMzg4MDE1NzJf/vxmedia) |
172.93.201[.]88 | Journalide[.]org | Nexeon Technologies, Inc. | 2023-03-29 | C&C server SimplexTea jaoks (/djour.php) |
MITER ATT&CK tehnikad
Taktika | ID | Nimi | Kirjeldus |
---|---|---|---|
Tutvumine | T1593.001 | Otsige avatud veebisaitidelt/domeenidest: sotsiaalmeedia | Lazaruse ründajad lähenesid tõenäoliselt sihtmärgile võltsitud HSBC-teemalise tööpakkumisega, mis vastaks sihtmärgi huvidele. Varem on seda tehtud peamiselt LinkedIni kaudu. |
Ressursside arendamine | T1584.001 | Taristu hankimine: domeenid | Erinevalt paljudest varasematest operatsioonis DreamJobis kasutatud C&C-de ohtu sattunud juhtudest registreerisid Lazaruse operaatorid Linuxi sihtmärgi jaoks oma domeeni. |
T1587.001 | Võimaluste arendamine: pahavara | Rünnaku kohandatud tööriistad on tõenäoliselt ründajad välja töötanud. | |
T1585.003 | Kontode loomine: pilvekontod | Ründajad võõrustasid viimast etappi pilveteenuses OpenDrive. | |
T1608.001 | Etapi võimalused: laadige üles pahavara | Ründajad võõrustasid viimast etappi pilveteenuses OpenDrive. | |
Täitmine | T1204.002 | Kasutaja täitmine: pahatahtlik fail | OdicLoader maskeerub sihtmärgi petmiseks PDF-failina. |
Esialgne juurdepääs | T1566.002 | Andmepüük: andmepüügilink | Tõenäoliselt sai sihtmärk lingi kolmanda osapoole kaugmällu koos pahatahtliku ZIP-arhiiviga, mis hiljem edastati VirusTotalile. |
Püsivus | T1546.004 | Sündmuse käivitatud täitmine: Unix Shelli konfiguratsiooni muutmine | OdicLoader muudab ohvri Bashi profiili, nii et SimplexTea käivitatakse iga kord, kui Bashi vaadatakse ja selle väljund vaigistatakse. |
Kaitsest kõrvalehoidmine | T1134.002 | Juurdepääsulubade manipuleerimine: looge protsess Tokeniga | SimplexTea saab luua uue protsessi, kui tema C&C-server seda juhendab. |
T1140 | Failide või teabe deobfuskeerimine/dekodeerimine | SimplexTea salvestab oma konfiguratsiooni krüpteeritud kujul apdl.cf. | |
T1027.009 | Hägustatud failid või teave: manustatud kasulikud koormused | Kõikide pahatahtlike ahelate tilgutajad sisaldavad manustatud andmemassiivi koos täiendava etapiga. | |
T1562.003 | Kahjustada kaitsemehhanisme: kahjustada käskude ajaloo logimist | OdicLoader muudab ohvri Bashi profiili, nii et SimplexTea väljund ja veateated on vaigistatud. SimplexTea teostab uusi protsesse sama tehnikaga. | |
T1070.004 | Indikaatori eemaldamine: faili kustutamine | SimplexTeal on võimalus faile turvaliselt kustutada. | |
T1497.003 | Virtualiseerimine/liivakastist kõrvalehoidmine: ajapõhine kõrvalehoidmine | SimplexTea rakendab selle täitmisel mitu kohandatud unerežiimi viivitust. | |
avastus | T1083 | Failide ja kataloogide avastamine | SimplexTea saab loetleda kataloogi sisu koos nende nimede, suuruste ja ajatemplitega (matkides ls-la käsk). |
Juhtimine ja kontroll | T1071.001 | Rakenduskihi protokoll: veebiprotokollid | SimplexTea saab oma C&C-serveriga suhtlemiseks kasutada HTTP-d ja HTTPS-i, kasutades staatiliselt lingitud Curli teeki. |
T1573.001 | Krüpteeritud kanal: sümmeetriline krüptograafia | SimplexTea krüpteerib C&C liikluse, kasutades AES-GCM algoritmi. | |
T1132.001 | Andmete kodeerimine: standardne kodeering | SimplexTea kodeerib C&C liiklust base64 abil. | |
T1090 | Volikiri | SimplexTea saab suhtluseks kasutada puhverserverit. | |
Välja filtreerimine | T1041 | Eksfiltratsioon C2 kanali kaudu | SimplexTea saab andmeid ZIP-arhiivina oma C&C-serverisse eksfiltreerida. |
Lisa
See YARA reegel märgistab klastri, mis sisaldab nii IconicLoaderit kui ka IconicStealerit, samuti 2022. aasta detsembrist krüptovaluutakampaaniates kasutusele võetud kasulikke koormusi.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
/* The following rule will only work with YARA version >= 3.11.0 */ import “pe” rule RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023 { meta: description = ” Rich Headers-based rule covering the IconicLoader and IconicStealer from the 3CX supply chain incident, and also payloads from the cryptocurrency campaigns from 2022-12″ author = “ESET Research” date = “2023-03-31” hash = “3B88CDA62CDD918B62EF5AA8C5A73A46F176D18B” hash = “CAD1120D91B812ACAFEF7175F949DD1B09C6C21A” hash = “5B03294B72C0CAA5FB20E7817002C600645EB475” hash = “7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC” condition: pe.rich_signature.toolid(259, 30818) == 9 and pe.rich_signature.toolid(256, 31329) == 1 and pe.rich_signature.toolid(261, 30818) >= 30 and pe.rich_signature.toolid(261, 30818) <= 38 and pe.rich_signature.toolid(261, 29395) >= 134 and pe.rich_signature.toolid(261, 29395) <= 164 and pe.rich_signature.toolid(257, 29395) >= 6 and pe.rich_signature.toolid(257, 29395) <= 14 } |
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
- Tuleviku rahapaja Adryenn Ashley. Juurdepääs siia.
- Allikas: https://www.welivesecurity.com/2023/04/20/linux-malware-strengthens-links-lazarus-3cx-supply-chain-attack/
- :on
- :on
- :mitte
- $ UP
- 000
- 000 klienti
- 1
- 11
- 20
- 2014
- 2020
- 2021
- 2022
- 2023
- 39
- 7
- 8
- 9
- a
- võime
- Võimalik
- MEIST
- üle
- Vastavalt
- konto
- Kontod
- tegevus
- osalejad
- lisatud
- Täiendavad lisad
- Aerospace
- mõjutades
- vastu
- algoritm
- Materjal: BPA ja flataatide vaba plastik
- võimaldab
- kõrval
- juba
- Ka
- vahel
- an
- Analüütikud
- ja
- Teine
- mistahes
- app
- ilmne
- ahvatlev
- taotlus
- rakendused
- läheneb
- Aprill
- APT
- Arhiiv
- OLEME
- Argentina
- Array
- artikkel
- kaubad
- AS
- At
- rünnak
- Reageerib
- tähelepanu
- AUGUST
- Autentimine
- autor
- tagasi
- tagauks
- Tagauksed
- toetus
- Halb
- põhineb
- sisse lööma
- BE
- Karud
- sest
- olnud
- enne
- Algus
- taga
- on
- Uskuma
- alla
- vahel
- mõlemad
- Brasiilia
- brauseri
- by
- C + +
- helistama
- kutsutud
- Kampaania
- Kampaaniad
- CAN
- ei saa
- võimeid
- juhul
- juhtudel
- Põhjus
- kett
- ketid
- Kanal
- iseloom
- salakiri
- CISO
- nõudma
- klass
- klient
- Cloud
- Cloud Storage
- Cluster
- kood
- valmistatud
- COM
- ühine
- KOMMUNIKATSIOON
- Side
- kogukond
- Ettevõtted
- ettevõte
- Ettevõtte omad
- võrdlus
- Lõpetab
- keeruline
- komponent
- kompromiss
- Kompromissitud
- seisund
- läbi
- usaldus
- konfiguratsioon
- Kinnitama
- seotud
- ühendus
- kontakt
- sisaldama
- sisaldab
- sisu
- aitama kaasa
- vastab
- kinnitama
- võiks
- riik
- kaetud
- kattes
- looma
- loodud
- cryptocurrency
- Praegune
- Praegu
- tava
- Kliendid
- andmed
- andmebaasid
- kuupäev
- Kuupäevad
- Päeva
- surnud
- Detsember
- otsustatud
- vaikimisi
- Kaitsjad
- kaitse
- viivitusi
- annab
- Näidatud
- näitab
- lähetatud
- kasutuselevõtu
- sügavus
- kirjeldus
- lauaarvuti
- detail
- Detection
- Määrama
- kindlaksmääratud
- laastav
- arenenud
- arendaja
- DID
- erinevad
- otsene
- otse
- avalikustamine
- avastasin
- avastus
- Näidikute
- levitada
- jagatud
- levitamine
- jaotus
- dokument
- domeen
- Domeenid
- DOT
- lae alla
- allalaadimine
- ajendatud
- Drop
- Tilgad
- dubleeritud
- ajal
- iga
- Varajane
- varjatud
- lubatud
- krüpteeritud
- krüpteerimist
- insener
- Inseneriteadus
- meelelahutus
- keskkond
- viga
- ESET-i uuringud
- asutatud
- Isegi
- sündmused
- tõend
- Täidab
- täitmine
- olemasolevate
- Selgitama
- selgitas
- laiendamine
- väline
- väljavõte
- tegurid
- võlts
- Veebruar
- Tõmmatud
- vähe
- Joonis
- fail
- Faile
- lõplik
- esimene
- sobima
- lipud
- Lipulaev
- Järgneb
- Järel
- eest
- vorm
- formaat
- avastatud
- Alates
- esi-
- täis
- funktsioon
- Georgia
- saama
- GitHub
- antud
- Go
- Grupp
- Grupi omad
- külaline
- hash
- Olema
- he
- päised
- Pealkirjad
- tervishoid
- aitama
- aitas
- varjama
- Suur
- Esiletõstetud
- ajalugu
- külalislahkus
- võõrustas
- Kuidas
- aga
- HSBC
- HTML
- http
- HTTPS
- identiques
- Mõjud
- täitmine
- tööriistad
- import
- in
- juhtum
- intsidentidele reageerimine
- sisaldama
- Kaasa arvatud
- tööstus
- kurikuulus
- info
- Infrastruktuur
- infrastruktuur
- esialgu
- Päringud
- paigaldatud
- selle asemel
- Intel
- Intelligentsus
- huvi
- huvitav
- rahvusvaheliselt
- sisse
- uurima
- uurimine
- seotud
- IT
- ITS
- ise
- Jaanuar
- töö
- JOE
- Juuli
- Kaspersky
- Võti
- võtmed
- Laps
- teadmised
- korea
- viimane
- Eelmisel aastal
- Hilja
- käivitatud
- kiht
- Lazarus
- Laatsaruse rühm
- juht
- juhid
- Tase
- Raamatukogu
- Tõenäoliselt
- LINK
- seotud
- lingid
- Linux
- nimekiri
- OÜ
- laadur
- laadimine
- saadetised
- Pikk
- Vaata
- Partii
- masin
- masinad
- MacOS
- tehtud
- peamine
- TEEB
- malware
- juht
- Manipuleerimine
- palju
- kaart
- Märts
- max laiuse
- mai..
- mainitud
- kirjad
- Meta
- Metaandmed
- meetod
- Microsoft
- võib
- Sõjaline
- mobiilne
- mobiilirakenduse
- rohkem
- kõige
- mitmekordne
- salapärane
- nimi
- Nimega
- nimelt
- nimed
- emakeelena
- kumbki
- võrk
- Uus
- järgmine
- põhja-
- kuulsusrikk
- of
- pakkuma
- Pakkumised
- ametlik
- on
- ONE
- jätkuv
- ainult
- avatud
- avamine
- tegutsevad
- operatsioonisüsteemid
- töö
- ettevõtjad
- or
- et
- organisatsioonid
- originaal
- Muu
- meie
- väljund
- üle
- enda
- P&E
- lehekülg
- Paber
- osa
- minevik
- perspektiiv
- telefon
- Pildid
- plaanitud
- Platvormid
- Platon
- Platoni andmete intelligentsus
- PlatoData
- palun
- eelistatud
- olemasolu
- eelmine
- varem
- Eelnev
- era-
- tõenäoliselt
- protsess
- Protsessid
- tootma
- profiil
- projektid
- protokoll
- anda
- tingimusel
- annab
- pakkudes
- volikiri
- avalik
- avalikult
- avaldatud
- kirjastaja
- kiiresti
- pigem
- realiseeritud
- tagasivõtmine
- saadud
- hiljuti
- hiljuti
- registreeritud
- seotud
- suhe
- kauge
- eemaldamine
- aru
- Teatatud
- Aruanded
- esindama
- esindatud
- teadustöö
- uurija
- Teadlased
- vastus
- Revealed
- Rikas
- Roll
- Rumeenia
- Eeskiri
- jooks
- jooksmine
- sama
- sekundit
- Osa
- Sektorid
- kindlalt
- turvalisus
- Seeria
- Serverid
- teenus
- Teenused
- komplekt
- mitu
- jagatud
- Shell
- Näitused
- allkirjastatud
- märkimisväärne
- sarnane
- sarnasused
- alates
- ühekordne
- SUURUS
- suurused
- uni
- So
- nii kaugel
- sotsiaalmeedia
- Sotsiaaltehnoloogia
- tarkvara
- mõned
- midagi
- Sony
- Lõuna
- Lõuna-Korea
- konkreetse
- Stage
- etappidel
- standard
- alustatud
- Ühendriigid
- Samm
- ladustamine
- ladustatud
- kauplustes
- oja
- Tugevdama
- Tugevdab
- tugev
- tugevalt
- stuudio
- Ettepanekud
- esitatud
- mahukas
- Soovitab
- varustama
- tarneahelas
- sümbol
- süntaks
- süsteem
- süsteemid
- tabel
- sihtmärk
- suunatud
- sihtimine
- eesmärgid
- Tehniline
- tehnikat
- Tehnoloogiad
- kui
- et
- .
- oma
- Neile
- ennast
- Need
- kolmanda osapoole
- see
- oht
- ohus osalejad
- kolm
- Läbi
- aeg
- ajakava
- ots
- et
- kokku
- sümboolne
- tööriist
- töövahendid
- liiklus
- ravimisel
- vallandas
- tüüpiline
- tüpograafia
- unix
- Värskendused
- ajakohastatud
- URL
- us
- kasutama
- Kasutatud
- Kasutaja
- Kasutajad
- ära kasutama
- variant
- eri
- müüja
- versioon
- kaudu
- Ohver
- ohvreid
- virtuaalne
- virtuaalne masin
- visiit
- vmware
- vs
- Wardle
- oli
- Tee..
- we
- web
- veebibrauseri
- veebisait
- nädalat
- Hästi
- olid
- M
- kas
- mis
- lai
- Wikipedia
- will
- aknad
- koos
- Töö
- oleks
- pakkima
- kirjalik
- aasta
- sephyrnet
- Tõmblukk