Yhtäläisyydet Operation DreamJobissa käytettyjen äskettäin löydettyjen Linux-haittaohjelmien kanssa vahvistavat teorian, jonka mukaan pahamaineinen Pohjois-Korean liittoutunut ryhmä on 3CX-toimitusketjuhyökkäyksen takana.
ESET-tutkijat ovat löytäneet uuden Lazarus Operation DreamJob -kampanjan, joka on suunnattu Linux-käyttäjille. Operation DreamJob on nimi kampanjasarjalle, jossa ryhmä käyttää sosiaalisen suunnittelun tekniikoita vaarantaakseen tavoitteensa ja houkuttelevana väärennettyjä työtarjouksia. Tässä tapauksessa pystyimme rekonstruoimaan koko ketjun ZIP-tiedostosta, joka toimittaa huijauksena väärennetyn HSBC-työtarjouksen, aina lopulliseen hyötykuormaan asti: SimplexTea Linux -takaovi, joka jaettiin OpenDrive pilvitallennustili. Tietojemme mukaan tämä on ensimmäinen julkinen maininta tästä suuresta Pohjois-Korean uhkatekijästä, joka käyttää Linux-haittaohjelmia osana tätä toimintaa.
Lisäksi tämä löytö auttoi meitä vahvistamaan suurella varmuudella, että äskettäisen 3CX-toimitusketjuhyökkäyksen teki itse asiassa Lazarus – linkki, jota epäiltiin alusta alkaen ja useat tietoturvatutkijat ovat osoittaneet sen jälkeen. Tässä blogiviestissä vahvistamme nämä havainnot ja tarjoamme lisätodisteita Lazaruksen ja 3CX-toimitusketjuhyökkäyksen välisestä yhteydestä.
3CX toimitusketjun hyökkäys
3CX on kansainvälinen VoIP-ohjelmistokehittäjä ja -jakelija, joka tarjoaa puhelinjärjestelmäpalveluita monille organisaatioille. Verkkosivustonsa mukaan 3CX:llä on yli 600,000 12,000,000 asiakasta ja 2023 3 3 käyttäjää eri aloilla, mukaan lukien ilmailu-, terveydenhuolto- ja ravintola-ala. Se tarjoaa asiakasohjelmiston järjestelmiensä käyttöä varten verkkoselaimen, mobiilisovelluksen tai työpöytäsovelluksen kautta. Myöhään maaliskuussa 3 havaittiin, että sekä Windowsin että macOS:n työpöytäsovellus sisälsi haitallista koodia, jonka avulla joukko hyökkääjiä pystyi lataamaan ja suorittamaan mielivaltaista koodia kaikilla koneilla, joihin sovellus oli asennettu. Nopeasti selvitettiin, että tämä haitallinen koodi ei ollut XNUMXCX:n itse lisäämä, vaan että XNUMXCX oli vaarantunut ja että sen ohjelmistoa käytettiin toimitusketjun hyökkäyksessä, jota ulkoiset uhkatekijät ohjasivat lisähaittaohjelmien jakamiseksi tietyille XNUMXCX-asiakkaille.
Tämä kybervälikohtaus on noussut otsikoihin viime päivinä. Alun perin raportoitu 29. maaliskuutath, 2023 vuonna a Reddit säiettä CrowdStrike-insinööri, jonka jälkeen virallinen raportti CrowdStrike, joka totesi suurella varmuudella, että LABIRINTH CHOLLIMA, yrityksen koodinimi Lazarukselle, oli hyökkäyksen takana (mutta jättäen huomiotta väitteen tueksi todisteet). Tapahtuman vakavuudesta johtuen useat turvayritykset alkoivat esittää yhteenvetojaan tapahtumista, nimittäin Sophos, Check Point, Broadcom, Trend Micro, Ja enemmän.
Lisäksi hyökkäyksen osa, joka vaikuttaa macOS:ää käyttäviin järjestelmiin, käsiteltiin yksityiskohtaisesti kohdassa a Twitter lanka ja a blogpost Kirjailija: Patrick Wardle
Aikajana tapahtumista
Aikajana osoittaa, että tekijät olivat suunnitelleet hyökkäykset kauan ennen teloitusta; jo joulukuussa 2022. Tämä viittaa siihen, että heillä oli jalansija 3CX:n verkossa jo viime vuoden lopulla.
Vaikka troijalainen 3CX macOS -sovellus osoittaa, että se allekirjoitettiin tammikuun lopulla, havaitsimme huonon sovelluksen telemetriassamme vasta 14. helmikuutath, 2023. On epäselvää, jaettiinko macOS:n haitallinen päivitys ennen kyseistä päivämäärää.
Vaikka ESET-telemetria näyttää macOS:n toisen vaiheen hyötykuorman olemassaolon jo helmikuussa, meillä ei ollut itse näytettä eikä metatietoja, jotka vihjaisivat sen haitallisuudesta. Sisällytämme nämä tiedot auttaaksemme puolustajia määrittämään, kuinka kauas taakse jääneitä järjestelmiä on saatettu vaarantaa.
Useita päiviä ennen kuin hyökkäys paljastettiin julkisesti, mystinen Linux-latausohjelma lähetettiin VirusTotalille. Se lataa uuden Lazarus-haitallisen hyötykuorman Linuxille ja selitämme sen suhteen hyökkäykseen myöhemmin tekstissä.
3CX-toimitusketjuhyökkäyksen antaminen Lazarukselle
Mitä on jo julkaistu
On yksi toimialue, jolla on merkittävä rooli vaikuttavuuden perusteluissamme: journalide[.]org. Se mainitaan joissakin yllä linkitetyissä toimittajaraporteissa, mutta sen läsnäoloa ei koskaan selitetä. Mielenkiintoista, artikkelit tekijältä SentinelOne ja TavoiteKatso älä mainitse tätä verkkotunnusta. Ei myöskään blogikirjoitus Volexity, joka jopa pidättäytyi antamasta nimeä "Volexity ei voi tällä hetkellä kartoittaa paljastettua toimintaa millekään uhkatoimijalle". Sen analyytikot olivat ensimmäisten joukossa, jotka tutkivat hyökkäystä perusteellisesti, ja he loivat työkalun C&C-palvelimien luettelon poimimiseksi GitHubin salatuista kuvakkeista. Tämä työkalu on hyödyllinen, koska hyökkääjät eivät upottaneet C&C-palvelimia suoraan välivaiheessa, vaan käyttivät GitHubia kuolleen pudotuksen ratkaisejana. Välivaiheet ovat Windows- ja macOS-latausohjelmat, joita kutsumme IconicLoadersiksi, ja niiden saamia hyötykuormia IconicStealer- ja UpdateAgent-muodossa.
Maaliskuussa 30th, Joe Desimone, turvallisuustutkija Joustava turvallisuus, oli ensimmäisten joukossa, joka tarjosi vuonna a Twitter säiettä, merkittäviä vihjeitä siitä, että 3CX-ohjatut kompromissit liittyvät todennäköisesti Lazarukseen. Hän havaitsi, että kuormakoodin tynkä liittyi hyötykuormaan d3dcompiler_47.dll on samanlainen kuin AppleJeus loader stubs, jonka Lazarus on antanut CISA huhtikuussa 2021.
Maaliskuussa 31st se oli ovat raportoitu että 3CX oli säilyttänyt Mandiantin toimitusketjun hyökkäykseen liittyvien välikohtauspalveluiden tarjoamiseen.
Huhtikuussa 3rd, Kasperskyosoitti telemetriansa avulla suoran yhteyden 3CX:n toimitusketjun uhrien ja Gopuram-nimisen takaoven käyttöönoton välillä, molemmilla, jotka sisälsivät hyötykuormia, joilla on yleinen nimi, guard64.dll. Kasperskyn tiedot osoittavat, että Gopuram on yhteydessä Lazarukseen, koska se esiintyi rinnakkain uhrikoneissa AppleJeus, haittaohjelma, joka johtui Lazaruksesta. Sekä Gopuram että AppleJeus havaittiin hyökkäyksissä kryptovaluuttayhtiötä vastaan.
Sitten huhtikuun 11th, 3CX:n CISO teki yhteenvedon Mandiantin välihavainnoista kohdassa a blogpost. Raportin mukaan kaksi Windows-haittaohjelmanäytettä, shellcode-lataaja nimeltä TAXHAUL ja monimutkainen latausohjelma nimeltä COLDCAT, osallistuivat 3CX:n kompromissiin. Hajautusarvoja ei annettu, mutta Mandiantin YARA-sääntö, nimeltään TAXHAUL, laukaisee myös muissa VirusTotalissa jo olevissa näytteissä:
- SHA-1: 2ACC6F1D4656978F4D503929B8C804530D7E7CF6 (ualapi.dll),
- SHA-1: DCEF83D8EE080B54DC54759C59F955E73D67AA65 (wlbsctrl.dll)
Näiden näytteiden tiedostonimet, mutta eivät MD5:t, ovat samat kuin Kasperskyn blogikirjoituksessa. 3CX kuitenkin ilmoittaa nimenomaisesti, että COLDCAT eroaa Gopuramista.
Seuraava osio sisältää teknisen kuvauksen uudesta Lazarus-haitallisesta Linux-hyötykuormasta, jonka olemme äskettäin analysoineet, sekä kuinka se auttoi meitä vahvistamaan olemassa olevaa yhteyttä Lazaruksen ja 3CX-kompromissin välillä.
Operaatio DreamJob Linux-hyötykuormalla
Lazarus-ryhmän Operation DreamJob sisältää tavoitteiden lähestymisen LinkedInin kautta ja niiden houkuttelemisen alan johtajien työtarjouksilla. Nimen loi ClearSky vuonna paperi julkaistu elokuussa 2020. Tuossa paperissa kuvataan Lazaruksen kybervakoilukampanjaa, joka on suunnattu puolustus- ja ilmailualan yrityksille. Toiminta on päällekkäistä sen kanssa, mitä kutsumme Operation In(ter)ception, sarja kybervakoiluhyökkäyksiä, jotka ovat jatkuneet ainakin vuodesta lähtien. syyskuu 2019. Se kohdistuu ilmailu-, sotilas- ja puolustusalan yrityksiin ja käyttää tiettyjä haitallisia, aluksi vain Windows-työkaluja. Löysimme heinä- ja elokuussa 2022 kaksi Operation In(ter)ception -kohtaa, jotka kohdistuivat macOS:ään. Yksi haittaohjelmanäyte lähetettiin osoitteeseen VirusTotal Brasiliasta, ja toinen hyökkäys kohdistui ESET-käyttäjään Argentiinassa. Muutama viikko sitten VirusTotalista löydettiin natiivi Linux-hyötykuorma HSBC-teemaisella PDF-vieheellä. Tämä täydentää Lazaruksen kykyä kohdistaa kaikkiin tärkeimpiin työpöytäkäyttöjärjestelmiin.
Maaliskuussa 20th, Georgian maassa oleva käyttäjä lähetti VirusTotalille ZIP-arkiston nimeltä HSBC työtarjous.pdf.zip. Ottaen huomioon muut Lazaruksen DreamJob-kampanjat, tämä hyötykuorma luultavasti jaettiin speaphishing- tai suorien viestien kautta LinkedInissä. Arkisto sisältää yhden tiedoston: alkuperäisen 64-bittisen Intel Linux -binaarin, joka on kirjoitettu Go-kielellä ja nimeltään HSBC työtarjous․pdf.
Mielenkiintoista, että tiedostopääte ei ole . Pdf. Tämä johtuu siitä, että tiedostonimen näennäinen pistemerkki on a johtaja piste edustaa U+2024 Unicode-merkki. Johtopisteen käyttö tiedostonimessä oli todennäköisesti yritys huijata tiedostonhallintaa käsittelemään tiedostoa suoritettavana tiedostona PDF-tiedoston sijaan. Tämä voi saada tiedoston toimimaan kaksoisnapsautettuna sen sijaan, että se avattaisiin PDF-katseluohjelmalla. Suorituksen yhteydessä houkutus-PDF näytetään käyttävälle käyttäjälle XDG- auki, joka avaa asiakirjan käyttämällä käyttäjän haluamaa PDF-katseluohjelmaa (katso kuva 3). Päätimme kutsua tätä ELF-latausohjelmaa OdicLoaderiksi, koska sillä on samanlainen rooli kuin IconicLoaderilla muilla alustoilla ja hyötykuorma haetaan OpenDrivesta.
OdicLoader pudottaa houkutus-PDF-dokumentin, näyttää sen käyttämällä järjestelmän oletusarvoista PDF-katseluohjelmaa (katso kuva 2) ja lataa sitten toisen vaiheen takaoven OpenDrive pilvipalvelu. Ladattu tiedosto on tallennettu ~/.config/guiconfigd (SHA-1: 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF). Kutsumme tätä toisen vaiheen takaovea SimplexTeaksi.
Suorituksensa viimeisenä vaiheena OdicLoader muuttaa ~ / .bash_profile, joten SimplexTea käynnistetään Bashin kanssa ja sen lähtö on mykistetty (~/.config/guiconfigd >/dev/null 2>&1).
SimplexTea on C++:lla kirjoitettu Linux-takaovi. Kuten taulukosta 1 on korostettu, sen luokkanimet ovat hyvin samankaltaisia kuin funktion nimet, jotka löytyvät näytteestä tiedostonimellä sysnetd, lähetetty VirusTotalille Romaniasta (SHA-1: F6760FB1F8B019AF2304EA6410001B63A1809F1D). SimplexTean ja toimintojen nimien samankaltaisuuksien vuoksi sysnetd, uskomme, että SimplexTea on päivitetty versio, joka on kirjoitettu C:stä C++:aan.
Taulukko 1. Kahden VirusTotalille lähetetyn Linuxin takaoven alkuperäisten symbolien nimien vertailu
guiconfigd |
sysnetd |
CMsgCmd::Aloita(tyhjä) | MSG_Cmd |
CMsgTurvataDel::Aloita(tyhjä) | MSG_Del |
CMsgDir::Aloita(tyhjä) | MSG_Dir |
CMsgDown::Aloita(tyhjä) | MSG_Alas |
CMsgExit::Aloita(tyhjä) | MSG_Poistu |
CMsgReadConfig::Aloita(tyhjä) | MSG_ReadConfig |
CMsgRun::Aloita(tyhjä) | MSG_Run |
CMsgSetPath::Aloita(tyhjä) | MSG_SetPath |
CViestiSleep::Aloita(tyhjä) | MSG_Sleep |
CMsgTest::Aloita(tyhjä) | MSG_Test |
CMsgUp::Aloita(tyhjä) | MSG_Ylös |
CMsgWriteConfig::Aloita(tyhjä) | MSG_WriteConfig |
MSG_GetComInfo | |
CMsgHibernate::Aloita(tyhjä) | |
CMsgKeepCon::Start(void) | |
CMsgZipDown::Aloita(tyhjä) | |
CMsgZip::StartZip(tyhjä *) | |
CMsgZip::Aloita(tyhjä) | |
CHttpWrapper::RecvData(uchar *&,uint *,uint,allekirjoitettu merkki) | |
RecvMsg | |
CHttpWrapper::Lähetä viesti(_MSG_STRUCT *) | Lähetä viesti |
CHttpWrapper::SendData(uchar *,uint,uint) | |
CHttpWrapper::SendMsg(uint,uint,uchar *,uint,uint) | |
CHttpWrapper::SendLoginData(uchar *,uint,uchar *&,uint *) |
Miten on sysnetd liittyy Lasarukseen? Seuraava osa näyttää yhtäläisyyksiä Lazaruksen Windowsin takaoven BADCALL kanssa.
BADCALL Linuxille
Määrittelemme sysnetd Lazarukselle, koska se on samankaltainen kahden seuraavan tiedoston kanssa (ja uskomme sen sysnetd on Linux-versio ryhmän Windows-takaovesta nimeltä BADCALL):
- P2P_DLL.dll (SHA-1: 65122E5129FC74D6B5EBAFCC3376ABAE0145BC14), joka näyttää koodin samankaltaisuuksia sysnetd verkkotunnusten muodossa, joita käytetään fake TLS-yhteyden etupuolena (katso kuva 4). CISA katsoi sen Lasaruksen ansioksi vuonna joulukuu 2017. Alkaen syyskuu 2019, CISA alkoi kutsua tämän haittaohjelman uudempia versioita BADCALL:ksi (SHA-1: D288766FA268BC2534F85FD06A5D52264E646C47).
- prtspool (SHA-1: 58B0516D28BD7218B1908FB266B8FE7582E22A5F), joka näyttää koodin samankaltaisuuksia sysnetd (katso kuva 5). Sen katsoi Lasaruksen ansioksi CISA helmikuussa 2021. Huomaa myös, että SIMPLESEA, macOS:n takaovi, joka löydettiin 3CX-häiriöreaktion aikana, toteuttaa A5 / 1 virran salaus.
Tämä BADCALL-takaoven Linux-versio, sysnetd, lataa kokoonpanonsa tiedostosta nimeltä /tmp/vgauthsvclog. Koska Lazarus-operaattorit ovat aiemmin naamioineet hyötykuormansa, tämän nimen käyttö, jota VMware Guest Authentication -palvelu käyttää, viittaa siihen, että kohdejärjestelmä voi olla Linuxin VMware-virtuaalikone. Mielenkiintoista on, että XOR-avain tässä tapauksessa on sama kuin se, jota käytettiin SIMPLESEA:ssa 3CX-tutkimuksesta.
Kun tarkastellaan kolmea 32-bittistä kokonaislukua, 0xC2B45678, 0x90ABCDEFja 0xFE268455 Kuvasta 5, joka edustaa A5/1-salauksen mukautetun toteutuksen avainta, huomasimme, että samaa algoritmia ja identtisiä avaimia käytettiin Windows-haittaohjelmissa, jotka ovat peräisin vuoden 2014 lopusta ja jotka olivat mukana yhdessä pahamaineiset Lazarus-tapaukset: Sony Pictures Entertainmentin kybersabotaasi (SHA-1: 1C66E67A8531E3FF1C64AE57E6EDFDE7BEF2352D).
Muita attribuutiodatapisteitä
Kertaaksemme tähän mennessä käsitellymme 3CX-toimitusketjuhyökkäyksen uskomme Lazarus-ryhmän suurella luottamustasolla. Tämä perustuu seuraaviin tekijöihin:
- Haittaohjelmat (tunkeutumissarja):
- IconicLoader (samcli.dll) käyttää samantyyppistä vahvaa salausta – AES-GCM – kuin SimplexTea (jonka yhteys Lazarukselle määritettiin samankaltaisuuden kautta kuin BALLCALL for Linux); vain avaimet ja alustusvektorit eroavat toisistaan.
- Perustuu PE Rich -otsikoihin, molemmat IconicLoader (samcli.dll) ja IconicStealer (secost.dll) ovat samankokoisia projekteja, jotka on käännetty samaan Visual Studio -ympäristöön kuin suoritettavat tiedostot iertutil.dll (SHA-1: 5B03294B72C0CAA5FB20E7817002C600645EB475) Ja iertutil.dll (SHA-1: 7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC) raportoi Lazarus-kryptovaluuttakampanjoissa Volexity ja Microsoft. Sisällytämme alle YARA-säännön RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023, joka merkitsee kaikki nämä näytteet, eikä aiheeseen liittymättömiä haitallisia tai puhtaita tiedostoja, kuten on testattu nykyisissä ESET-tietokannassa ja viimeaikaisissa VirusTotal-lähetyksissä.
- SimplexTea hyötykuorma lataa kokoonpanonsa hyvin samalla tavalla kuin SIMPLESEA-haittaohjelma 3CX:n virallisesta tapausvastauksesta. XOR-näppäin eroaa (0x5E vs. 0x7E), mutta kokoonpanolla on sama nimi: apdl.cf (katso kuva 8).
- infrastruktuuri:
- SimplexTean kanssa on jaettu verkkoinfrastruktuuri sellaisena kuin se käyttää https://journalide[.]org/djour.php kuten se C&C, jonka verkkotunnus on raportoitu viralliset tulokset Mandiantin 3CX-kompromissin tapausreaktiosta.
Yhteenveto
3CX-kompromissi on saanut paljon huomiota tietoturvayhteisöltä sen julkistamisen jälkeen 29. maaliskuutath. Tällä eri IT-infrastruktuureissa käyttöönotetulla vaarantuneella ohjelmistolla, joka mahdollistaa kaikenlaisten hyötykuormien lataamisen ja suorittamisen, voi olla tuhoisia vaikutuksia. Valitettavasti yksikään ohjelmistojulkaisija ei ole immuuni vaarantumiselle ja vahingossa levittäville sovellusten troijalaisversioille.
Toimitusketjuhyökkäyksen salaperäisyys tekee tästä haittaohjelmien levitysmenetelmästä erittäin houkuttelevan hyökkääjän näkökulmasta. Lasarus on jo käyttänyt tätä tekniikkaa Aiemmin kohdennettiin eteläkorealaisille WIZVERA VeraPort -ohjelmiston käyttäjille vuonna 2020. Yhtäläisyydet Lazarus-työkalusarjan olemassa olevien haittaohjelmien ja ryhmän tyypillisten tekniikoiden kanssa viittaavat vahvasti siihen, että viimeaikainen 3CX-kompromissi on myös Lazaruksen työtä.
On myös mielenkiintoista huomata, että Lazarus voi tuottaa ja käyttää haittaohjelmia kaikille tärkeimmille työpöytäkäyttöjärjestelmille: Windowsille, macOS:lle ja Linuxille. Sekä Windows- että macOS-järjestelmät kohdistuivat 3CX-tapahtuman aikana, ja molempien käyttöjärjestelmien 3CX:n VoIP-ohjelmisto troijaloitiin sisältämään haittakoodia mielivaltaisten hyötykuormien hakemiseksi. 3CX:n tapauksessa on olemassa sekä Windows- että macOS:n toisen vaiheen haittaohjelmaversiot. Tämä artikkeli osoittaa Linuxin takaoven olemassaolon, joka todennäköisesti vastaa 3CX-tapahtumassa havaittua SIMPLESEA macOS -haittaohjelmaa. Annoimme tälle Linux-komponentille nimeksi SimplexTea ja osoitimme, että se on osa Operation DreamJobia, Lazaruksen lippulaivakampanjaa, joka käyttää työtarjouksia aavistamattomien uhrien houkuttelemiseen ja kompromisseihin.
ESET Research tarjoaa yksityisiä APT-tietoraportteja ja tietosyötteitä. Jos sinulla on kysyttävää tästä palvelusta, käy osoitteessa ESET Threat Intelligence sivu.
IoC: t
Asiakirjat
SHA-1 | Tiedostonimi | ESET-tunnistusnimi | Kuvaus |
---|---|---|---|
0CA1723AFE261CD85B05C9EF424FC50290DCE7DF | guiconfigd | Linux/NukeSped.E | SimplexTea Linuxille. |
3A63477A078CE10E53DFB5639E35D74F93CEFA81 | HSBC_job_offer․pdf | Linux/NukeSped.E | OdicLoader, 64-bittinen latausohjelma Linuxille, kirjoitettu Go. |
9D8BADE2030C93D0A010AA57B90915EB7D99EC82 | HSBC_job_offer.pdf.zip | Linux/NukeSped.E | ZIP-arkisto, jossa on Linux-hyötykuorma, VirusTotalilta. |
F6760FB1F8B019AF2304EA6410001B63A1809F1D | sysnetd | Linux/NukeSped.G | BADCALL Linuxille. |
Ensimmäinen nähty | 2023-03-20 12:00:35 |
---|---|
MD5 | CEDB9CDBAD254F60CFB215B9BFF84FB9 |
SHA-1 | 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF |
SHA-256 | EEBB01932DE0B5605DD460CC82844D8693C00EA8AB5FFDF8DBEDE6528C1C18FD |
Tiedostonimi | guiconfigd |
Kuvaus | SimplexTea Linuxille. |
C & C | https://journalide[.]org/djour.php |
ladattavissa | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
Detection | Linux/NukeSped.E |
PE-kokoelman aikaleima | N / A |
Ensimmäinen nähty | 2023-03-16 07:44:18 |
---|---|
MD5 | 3CF7232E5185109321921046D039CF10 |
SHA-1 | 3A63477A078CE10E53DFB5639E35D74F93CEFA81 |
SHA-256 | 492A643BD1EFDACA4CA125ADE1B606E7BBF00E995AC9115AC84D1C4C59CB66DD |
Tiedostonimi | HSBC_job_offer․pdf |
Kuvaus | OdicLoader, 64-bittinen latausohjelma Linuxille, Gossa. |
C & C | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
ladattavissa | N / A |
Detection | Linux/NukeSped.E |
PE-kokoelman aikaleima | N / A |
Ensimmäinen nähty | 2023-03-20 02:23:29 |
---|---|
MD5 | FC41CB8425B6432AF8403959BB59430D |
SHA-1 | 9D8BADE2030C93D0A010AA57B90915EB7D99EC82 |
SHA-256 | F638E5A20114019AD066DD0E856F97FD865798D8FBED1766662D970BEFF652CA |
Tiedostonimi | HSBC_job_offer.pdf.zip |
Kuvaus | ZIP-arkisto, jossa on Linux-hyötykuorma, VirusTotalilta. |
C & C | N / A |
ladattavissa | N / A |
Detection | Linux/NukeSped.E |
PE-kokoelman aikaleima | N / A |
Ensimmäinen nähty | 2023-02-01 23:47:05 |
---|---|
MD5 | AAC5A52B939F3FE792726A13FF7A1747 |
SHA-1 | F6760FB1F8B019AF2304EA6410001B63A1809F1D |
SHA-256 | CC307CFB401D1AE616445E78B610AB72E1C7FB49B298EA003DD26EA80372089A |
Tiedostonimi | sysnetd |
Kuvaus | BADCALL Linuxille. |
C & C | tcp://23.254.211[.]230 |
ladattavissa | N / A |
Detection | Linux/NukeSped.G |
PE-kokoelman aikaleima | N / A |
verkko
IP-osoite | Domain | Palveluntarjoaja | Ensimmäinen nähty | Lisätiedot |
---|---|---|---|---|
23.254.211[.]230 | N / A | Hostwinds LLC. | N / A | C&C-palvelin BADCALLille Linuxille |
38.108.185[.]79 38.108.185[.]115 |
od[.]lk | Cogent Communications | 2023-03-16 | OpenDrive-etätallennus, joka sisältää SimplexTean (/d/NTJfMzg4MDE1NzJf/vxmedia) |
172.93.201[.]88 | journalide[.]org | Nexeon Technologies, Inc. | 2023-03-29 | C&C-palvelin SimplexTealle (/djour.php) |
MITER ATT & CK -tekniikat
Taktiikka | ID | Nimi | Kuvaus |
---|---|---|---|
Tiedustelu | T1593.001 | Hae avoimista verkkosivustoista/verkkotunnuksista: Sosiaalinen media | Lazarus-hyökkääjät luultavasti lähestyivät kohdetta väärennetyllä HSBC-aiheisella työtarjouksella, joka sopisi kohteen kiinnostukseen. Tämä on tehty enimmäkseen LinkedInin kautta aiemmin. |
Resurssien kehittäminen | T1584.001 | Hanki infrastruktuuri: Domains | Toisin kuin monet aiemmat Operation DreamJobissa käytetyt vaarantuneet C&C:t, Lazarus-operaattorit rekisteröivät oman verkkotunnuksensa Linux-kohteeseen. |
T1587.001 | Kehitysominaisuudet: Haittaohjelmat | Hyökkääjät ovat todennäköisesti kehittäneet räätälöityjä työkaluja hyökkäyksestä. | |
T1585.003 | Luo tilit: Pilvitilit | Hyökkääjät isännöivät viimeistä vaihetta pilvipalvelussa OpenDrive. | |
T1608.001 | Stage-ominaisuudet: Lataa haittaohjelmia | Hyökkääjät isännöivät viimeistä vaihetta pilvipalvelussa OpenDrive. | |
Teloitus | T1204.002 | Käyttäjän suoritus: Haitallinen tiedosto | OdicLoader naamioituu PDF-tiedostoksi kohteen huijaamiseksi. |
Ensimmäinen käyttöoikeus | T1566.002 | Phishing: Spearphishing Link | Kohde sai todennäköisesti linkin kolmannen osapuolen etätallennustilaan, jossa oli haitallinen ZIP-arkisto, joka lähetettiin myöhemmin VirusTotalille. |
Sitkeys | T1546.004 | Tapahtuman käynnistämä suoritus: Unix Shell -kokoonpanon muutos | OdicLoader muokkaa uhrin Bash-profiilia, joten SimplexTea käynnistetään aina, kun Bashia tuijotetaan ja sen tulos mykistetään. |
Puolustuksen kiertäminen | T1134.002 | Käyttötunnuksen manipulointi: Luo prosessi tunnuksella | SimplexTea voi luoda uuden prosessin, jos sen C&C-palvelin niin pyytää. |
T1140 | Poista tiedostojen tai tietojen salaus/dekoodaus | SimplexTea tallentaa kokoonpanonsa salatussa muodossa apdl.cf. | |
T1027.009 | Hämärtyneet tiedostot tai tiedot: upotetut hyötykuormat | Kaikkien haitallisten ketjujen dropperit sisältävät upotetun tietotaulukon, jossa on lisätaso. | |
T1562.003 | Heikentää puolustusta: heikentää komentohistorian kirjaamista | OdicLoader muokkaa uhrin Bash-profiilia, joten SimplexTean lähtö- ja virheilmoitukset mykistetään. SimplexTea suorittaa uusia prosesseja samalla tekniikalla. | |
T1070.004 | Ilmaisimen poistaminen: Tiedoston poistaminen | SimplexTealla on kyky poistaa tiedostoja turvallisesti. | |
T1497.003 | Virtualisointi/hiekkalaatikon kierto: Aikaperusteinen kierto | SimplexTea toteuttaa suorituksessaan useita mukautettuja univiiveitä. | |
Löytö | T1083 | Tiedostojen ja hakemistojen etsintä | SimplexTea voi luetella hakemiston sisällön yhdessä niiden nimien, kokojen ja aikaleimien kanssa (jäljittelemällä ls -la komento). |
Command and Control | T1071.001 | Sovelluskerrosprotokolla: Web -protokollat | SimplexTea voi käyttää HTTP:tä ja HTTPS:ää tiedonsiirtoon C&C-palvelimensa kanssa käyttämällä staattisesti linkitettyä Curl-kirjastoa. |
T1573.001 | Salattu kanava: Symmetrinen kryptografia | SimplexTea salaa C&C-liikenteen AES-GCM-algoritmilla. | |
T1132.001 | Tietojen koodaus: Vakiokoodaus | SimplexTea koodaa C&C-liikenteen base64:llä. | |
T1090 | Valtakirja | SimplexTea voi käyttää välityspalvelinta viestintään. | |
exfiltration | T1041 | Suodatus C2 -kanavan yli | SimplexTea voi suodattaa tietoja ZIP-arkistojen muodossa C&C-palvelimelleen. |
Liite
Tämä YARA-sääntö merkitsee klusterin, joka sisältää sekä IconicLoaderin että IconicStealerin, sekä kryptovaluuttakampanjoissa joulukuusta 2022 alkaen käyttöönotetut hyötykuormat.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
/* The following rule will only work with YARA version >= 3.11.0 */ import “pe” rule RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023 { meta: description = ” Rich Headers-based rule covering the IconicLoader and IconicStealer from the 3CX supply chain incident, and also payloads from the cryptocurrency campaigns from 2022-12″ author = “ESET Research” date = “2023-03-31” hash = “3B88CDA62CDD918B62EF5AA8C5A73A46F176D18B” hash = “CAD1120D91B812ACAFEF7175F949DD1B09C6C21A” hash = “5B03294B72C0CAA5FB20E7817002C600645EB475” hash = “7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC” condition: pe.rich_signature.toolid(259, 30818) == 9 and pe.rich_signature.toolid(256, 31329) == 1 and pe.rich_signature.toolid(261, 30818) >= 30 and pe.rich_signature.toolid(261, 30818) <= 38 and pe.rich_signature.toolid(261, 29395) >= 134 and pe.rich_signature.toolid(261, 29395) <= 164 and pe.rich_signature.toolid(257, 29395) >= 6 and pe.rich_signature.toolid(257, 29395) <= 14 } |
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
- Tulevaisuuden lyöminen Adryenn Ashley. Pääsy tästä.
- Lähde: https://www.welivesecurity.com/2023/04/20/linux-malware-strengthens-links-lazarus-3cx-supply-chain-attack/
- :on
- :On
- :ei
- $ YLÖS
- 000
- 000 asiakasta
- 1
- 11
- 20
- 2014
- 2020
- 2021
- 2022
- 2023
- 39
- 7
- 8
- 9
- a
- kyky
- pystyy
- Meistä
- edellä
- Mukaan
- Tili
- Tilit
- toiminta
- toimijoiden
- lisä-
- lisä-
- Aerospace
- vaikuttavat
- vastaan
- algoritmi
- Kaikki
- mahdollistaa
- rinnalla
- jo
- Myös
- keskuudessa
- an
- analyytikot
- ja
- Toinen
- Kaikki
- sovelluksen
- näennäinen
- miellyttävä
- Hakemus
- sovellukset
- lähestyy
- huhtikuu
- APT
- Archive
- OVAT
- Argentina
- Ryhmä
- artikkeli
- artikkelit
- AS
- At
- hyökkäys
- Hyökkäykset
- huomio
- Elokuu
- Authentication
- kirjoittaja
- takaisin
- takaoven
- Takaportteja
- tausta
- Huono
- perustua
- kemut
- BE
- Bears
- koska
- ollut
- ennen
- Alku
- takana
- ovat
- Uskoa
- alle
- välillä
- sekä
- Brasilia
- selain
- by
- C + +
- soittaa
- nimeltään
- Kampanja
- Kampanjat
- CAN
- ei voi
- kyvyt
- tapaus
- tapauksissa
- Aiheuttaa
- ketju
- kahleet
- Kanava
- merkki
- salakirjoitus
- CISO
- vaatia
- luokka
- asiakas
- pilvi
- Cloud Storage
- Cluster
- koodi
- keksi
- KOM
- Yhteinen
- Viestintä
- Yhteydenpito
- yhteisö
- Yritykset
- yritys
- Yrityksen
- vertailu
- Täydentää
- monimutkainen
- komponentti
- kompromissi
- Vaarantunut
- ehto
- tehty
- luottamus
- Konfigurointi
- Vahvistaa
- kytketty
- liitäntä
- ottaa yhteyttä
- sisältää
- sisältää
- pitoisuus
- edistävät
- vastaa
- vahvistaa
- voisi
- maa
- katettu
- päällyste
- luoda
- luotu
- kryptovaluutta
- Nykyinen
- Tällä hetkellä
- asiakassuhde
- Asiakkaat
- tiedot
- tietokannat
- Päivämäärä
- Päivämäärät
- päivää
- kuollut
- joulukuu
- päätti
- oletusarvo
- Puolustajat
- Puolustus
- viiveet
- Antaa
- osoittivat
- osoittaa
- käyttöön
- käyttöönotto
- syvyys
- kuvaus
- pöytä-
- yksityiskohta
- Detection
- Määrittää
- määritetty
- tuhoisa
- kehitetty
- Kehittäjä
- DID
- erota
- ohjata
- suoraan
- ilmitulo
- löysi
- löytö
- näytöt
- jakaa
- jaettu
- jako-
- jakelu
- asiakirja
- verkkotunnuksen
- verkkotunnuksia
- DOT
- download
- lataukset
- ajanut
- Pudota
- Drops
- dubattuna
- aikana
- kukin
- Varhainen
- upotettu
- käytössä
- salattu
- salaus
- insinööri
- Tekniikka
- Viihde
- ympäristö
- virhe
- ESET-tutkimus
- vakiintunut
- Jopa
- Tapahtumat
- näyttö
- toteuttaja
- teloitus
- olemassa
- Selittää
- selitti
- laajentaminen
- ulkoinen
- uute
- tekijät
- väärennös
- helmikuu
- Haettu
- harvat
- Kuva
- filee
- Asiakirjat
- lopullinen
- Etunimi
- sovittaa
- liput
- lippulaiva
- seurannut
- jälkeen
- varten
- muoto
- muoto
- löytyi
- alkaen
- etuosa
- koko
- toiminto
- Georgia
- saada
- GitHub
- tietty
- Go
- Ryhmä
- Ryhmän
- vieras
- hasis
- Olla
- he
- otsikot
- Pääotsikot
- terveydenhuollon
- auttaa
- auttanut
- Piilottaa
- Korkea
- Korostettu
- historia
- vieraanvaraisuus
- isännöi
- Miten
- Kuitenkin
- HSBC
- HTML
- http
- HTTPS
- identtinen
- Vaikutukset
- täytäntöönpano
- työkoneet
- tuoda
- in
- tapaus
- tapahtuman vastaus
- sisältää
- Mukaan lukien
- teollisuus
- pahamaineinen
- tiedot
- Infrastruktuuri
- infrastruktuuri
- ensin
- Kyselyt
- asennetaan
- sen sijaan
- Intel
- Älykkyys
- korko
- mielenkiintoinen
- kansainvälisesti
- tulee
- tutkia
- tutkimus
- osallistuva
- IT
- SEN
- itse
- tammikuu
- Job
- JOE
- heinäkuu
- Kaspersky
- avain
- avaimet
- laji
- tuntemus
- Korean
- Sukunimi
- Viime vuonna
- Myöhään
- käynnistettiin
- kerros
- Lazarus
- Lasarus-ryhmä
- johtaja
- johtajat
- Taso
- Kirjasto
- Todennäköisesti
- LINK
- liittyvät
- linkit
- linux
- Lista
- LLC
- loader
- lastaus
- kuormat
- Pitkät
- katso
- Erä
- kone
- Koneet
- MacOS
- tehty
- merkittävä
- TEE
- haittaohjelmat
- johtaja
- Manipulointi
- monet
- kartta
- maaliskuu
- max-width
- Saattaa..
- mainitsi
- viestien
- Meta
- Metadata
- menetelmä
- Microsoft
- ehkä
- Sotilaallinen
- Puhelinnumero
- Mobiilisovellus
- lisää
- eniten
- moninkertainen
- salaperäinen
- nimi
- nimetty
- nimittäin
- nimet
- syntyperäinen
- Eikä
- verkko
- Uusi
- seuraava
- Pohjoiseen
- pahamaineinen
- of
- kampanja
- Tarjoukset
- virallinen
- on
- ONE
- jatkuva
- vain
- avata
- avaaminen
- toiminta
- käyttöjärjestelmät
- toiminta
- operaattorit
- or
- tilata
- organisaatioiden
- alkuperäinen
- Muut
- meidän
- ulostulo
- yli
- oma
- P&E
- sivulla
- Paperi
- osa
- Ohi
- näkökulma
- puhelin
- kuvat
- suunnitteilla
- Platforms
- Platon
- Platonin tietotieto
- PlatonData
- Ole hyvä
- Suositut
- läsnäolo
- edellinen
- aiemmin
- Aikaisempi
- yksityinen
- todennäköisesti
- prosessi
- Prosessit
- tuottaa
- Profiili
- hankkeet
- protokolla
- toimittaa
- mikäli
- tarjoaa
- tarjoamalla
- valtuutettu
- julkinen
- julkisesti
- julkaistu
- kustantaja
- nopeasti
- pikemminkin
- tajusi
- kertaus
- sai
- äskettäinen
- äskettäin
- kirjattu
- liittyvä
- yhteys
- kaukosäädin
- poistaminen
- raportti
- raportoitu
- Raportit
- edustaa
- edustettuina
- tutkimus
- tutkija
- Tutkijat
- vastaus
- Revealed
- Rikas
- Rooli
- Romania
- Sääntö
- ajaa
- juoksu
- sama
- sekuntia
- Osa
- sektorit
- turvallisesti
- turvallisuus
- Sarjat
- servers
- palvelu
- Palvelut
- setti
- useat
- yhteinen
- Kuori
- Näytä
- allekirjoitettu
- merkittävä
- samankaltainen
- yhtäläisyyksiä
- koska
- single
- Koko
- koot
- nukkua
- So
- niin kaukana
- sosiaalinen
- Sosiaalinen insinööri
- Tuotteemme
- jonkin verran
- jotain
- Sony
- Etelä
- Etelä Korealainen
- erityinen
- Vaihe
- vaiheissa
- standardi
- alkoi
- Valtiot
- Vaihe
- Levytila
- tallennettu
- varastot
- virta
- Vahvistaa
- vahvistuu
- vahva
- voimakkaasti
- studio
- Vastauksissa
- toimitettu
- merkittävä
- Ehdottaa
- toimittaa
- toimitusketju
- symboli
- syntaksi
- järjestelmä
- järjestelmät
- taulukko
- Kohde
- kohdennettu
- kohdistaminen
- tavoitteet
- Tekninen
- tekniikat
- Technologies
- kuin
- että
- -
- heidän
- Niitä
- itse
- Nämä
- kolmannen osapuolen
- tätä
- uhkaus
- uhka toimijat
- kolmella
- Kautta
- aika
- aikajana
- kärki
- että
- yhdessä
- symbolinen
- työkalu
- työkalut
- liikenne
- käsittelemällä
- laukeaa
- tyypillinen
- typografia
- unix
- Päivitykset
- päivitetty
- URL
- us
- käyttää
- käytetty
- käyttäjä
- Käyttäjät
- käyttää
- variantti
- eri
- myyjä
- versio
- kautta
- Uhri
- uhrit
- Virtual
- virtuaalikone
- Vierailla
- vMware
- vs
- Wardle
- oli
- Tapa..
- we
- verkko
- Web-selain
- Verkkosivu
- viikkoa
- HYVIN
- olivat
- Mitä
- onko
- joka
- leveä
- wikipedia
- tulee
- ikkunat
- with
- Referenssit
- olisi
- kääri
- kirjallinen
- vuosi
- zephyrnet
- Postinumero