A hasonlóságok a DreamJob hadműveletben használt újonnan felfedezett Linux rosszindulatú szoftverekkel megerősítik azt az elméletet, hogy a hírhedt, Észak-Koreához kötődő csoport áll a 3CX ellátási lánc támadása mögött.
Az ESET kutatói felfedeztek egy új Lazarus Operation DreamJob kampányt, amely Linux-felhasználókat céloz meg. Az Operation DreamJob a neve egy olyan kampánysorozatnak, ahol a csoport social engineering technikákat alkalmaz, hogy kompromittálja célpontjait, hamis állásajánlatokkal csalogatva. Ebben az esetben sikerült rekonstruálni a teljes láncot, a ZIP-fájltól, amely csaliként egy hamis HSBC állásajánlatot szállít, egészen a végső rakományig: a SimplexTea Linux-hátsó ajtóig, amelyet egy egyen keresztül terjesztettek. OpenDrive felhőtárhely-fiók. Tudomásunk szerint ez az első nyilvános említés arról, hogy ez a jelentős, Észak-Koreához igazodó fenyegetés szereplő Linux kártevőt használ a művelet részeként.
Ezenkívül ez a felfedezés nagy biztonsággal megerősítette, hogy a legutóbbi 3CX ellátási lánc támadást valójában Lazarus hajtotta végre – ez a kapcsolat már a kezdetektől fogva gyanús volt, és azóta számos biztonsági kutató bebizonyította. Ebben a blogbejegyzésben megerősítjük ezeket a megállapításokat, és további bizonyítékokkal szolgálunk a Lazarus és a 3CX ellátási lánc támadása közötti kapcsolatról.
A 3CX ellátási lánc támadás
A 3CX egy nemzetközi VoIP szoftverfejlesztő és -forgalmazó, amely számos szervezet számára nyújt telefonrendszer-szolgáltatásokat. Weboldala szerint a 3CX-nek több mint 600,000 12,000,000 ügyfele és 2023 3 3 felhasználója van a különböző ágazatokban, beleértve a repülést, az egészségügyet és a vendéglátást. Kliensszoftvert biztosít rendszereinek webböngészőn, mobilalkalmazáson vagy asztali alkalmazáson keresztüli használatához. 3 márciusának végén kiderült, hogy a Windows és a MacOS asztali alkalmazása is tartalmazott rosszindulatú kódot, amely lehetővé tette a támadók egy csoportjának, hogy tetszőleges kódot töltsenek le és futtassanak minden olyan gépen, amelyre az alkalmazás telepítve volt. Gyorsan megállapították, hogy ezt a rosszindulatú kódot nem a XNUMXCX saját maga adta hozzá, hanem a XNUMXCX-et feltörték, és szoftverét külső fenyegetés szereplői által indított ellátási lánc támadásban használták, hogy további rosszindulatú programokat terjeszthessenek bizonyos XNUMXCX ügyfelek számára.
Ez a kiberincidens az elmúlt napokban a címlapokra került. Eredetileg március 29-én jelentettékth, 2023 in a Reddit szálat a CrowdStrike mérnöke, majd egy hivatalos jelentést tömeg Strike, nagy magabiztossággal kijelentve, hogy a LABIRINTH CHOLLIMA, a cég Lazarus kódneve áll a támadás mögött (de mellőzve az állítást alátámasztó bizonyítékokat). Az incidens súlyossága miatt több biztonsági cég is megkezdte az események összefoglalóinak elkészítését, nevezetesen Sophos, Check Point, Broadcom, Trend Micro, És így tovább.
Továbbá a támadásnak a macOS-t futtató rendszereket érintő részével részletesen foglalkoztunk a Twitter szál és a blog bejegyzés írta: Patrick Wardle.
Az események idővonalai
Az idővonal azt mutatja, hogy az elkövetők már jóval a kivégzés előtt kitervezték a támadásokat; Már 2022 decemberében. Ez arra utal, hogy már tavaly év végén megvették a lábukat a 3CX hálózatában.
Míg a trójai 3CX macOS alkalmazás azt mutatja, hogy január végén írták alá, a rossz alkalmazást csak február 14-én láttuk a telemetriánkban.th, 2023. Nem világos, hogy a macOS rosszindulatú frissítését ezt megelőzően terjesztették-e.
Bár az ESET telemetria már februárban kimutatja a macOS második szakaszának meglétét, nem rendelkeztünk sem maga a mintával, sem metaadatokkal, amelyek utalnának bennünket a rosszindulatúságra. Ezeket az információkat azért mellékeljük, hogy segítsünk a védőknek megállapítani, hogy milyen messzire visszamenő rendszereket veszélyeztethettek.
Néhány nappal a támadás nyilvánosságra hozatala előtt egy titokzatos Linux-letöltőt küldtek a VirusTotalnak. Letölt egy új Lazarus rosszindulatú hasznos adatot Linuxra, és a szöveg későbbi részében elmagyarázzuk a támadással való kapcsolatát.
A 3CX ellátási lánc támadás Lazarushoz való hozzárendelése
Ami már megjelent
Van egy tartomány, amely jelentős szerepet játszik a hozzárendelési érvelésünkben: Journalide[.]org. Néhány fent hivatkozott szállítói jelentés említi, de a jelenlétét soha nem magyarázzák meg. Érdekes módon a cikkek Sentinel One és a Célkitűzés Lásd ne említse ezt a domaint. Egy blogbejegyzés sem Volexitás, amely még a forrásmegjelöléstől is elzárkózott, kijelentve "A Volexity jelenleg nem tudja feltérképezni a nyilvánosságra hozott tevékenységet egyetlen fenyegető szereplőhöz sem". Elemzői az elsők között vizsgálták meg alaposan a támadást, és létrehoztak egy eszközt a C&C szerverek listájának kinyerésére a GitHubon található titkosított ikonokból. Ez az eszköz hasznos, mivel a támadók nem ágyazták be közvetlenül a C&C szervereket a köztes szakaszokban, hanem a GitHub-ot használták holtpont-feloldóként. A köztes szakaszok a Windows és a macOS letöltői, amelyeket IconicLoaders néven jelölünk, és az általuk kapott hasznos terheket IconicStealerként és UpdateAgentként.
Március 30th, Joe Desimone, egy biztonsági kutató Elasztikus biztonság, az elsők között nyújtotta, a Twitter szál, lényeges nyomok arra utalnak, hogy a 3CX-vezérelt kompromisszumok valószínűleg a Lazarushoz köthetők. Megfigyelte, hogy egy shellkód-csonk csatlakozik a rakományhoz d3dcompiler_47.dll hasonló az AppleJeus betöltő csonkjaihoz, amelyeket Lazarusnak tulajdonított CISA vissza áprilisban 2021.
Március 31st ez volt hogy jelentett hogy a 3CX megtartotta a Mandiantot az ellátási lánc támadásával kapcsolatos incidensreagálási szolgáltatások nyújtására.
Április 3rd, Kaspersky, a telemetriáján keresztül közvetlen kapcsolatot mutatott ki a 3CX ellátási lánc áldozatai és a Gopuram névre keresztelt hátsó ajtó telepítése között, mindkettő közös névvel rendelkező rakományt tartalmaz, guard64.dll. A Kaspersky adatai azt mutatják, hogy a Gopuram azért kapcsolódik a Lazarushoz, mert együtt létezett az áldozat gépeken AppleJeus, rosszindulatú program, amelyet már Lazarusnak tulajdonítottak. A Gopuramot és az AppleJeust is megfigyelték egy kriptovaluta-cég elleni támadásokban.
Aztán április 11-énth, a 3CX CISO összefoglalta a Mandiant időközi megállapításait a blog bejegyzés. A jelentés szerint két Windows malware-minta, egy TAXHAUL nevű shellkód-betöltő és egy COLDCAT nevű komplex letöltő vett részt a 3CX kompromittálásában. Nem adtak meg kivonatokat, de a Mandiant YARA-szabálya, a TAXHAUL, a VirusTotalon már megtalálható más mintákon is aktiválódik:
- SHA-1: 2ACC6F1D4656978F4D503929B8C804530D7E7CF6 (ualapi.dll),
- SHA-1: DCEF83D8EE080B54DC54759C59F955E73D67AA65 (wlbsctrl.dll)
Ezeknek a mintáknak a fájlnevei (de nem az MD5-ök) egybeesnek a Kaspersky blogbejegyzésében szereplő fájlnevekkel. A 3CX azonban kifejezetten kijelenti, hogy a COLDCAT különbözik a Gopuramtól.
A következő rész az általunk nemrégiben elemzett új Lazarus rosszindulatú Linux rakomány műszaki leírását tartalmazza, valamint azt, hogy ez hogyan segített a Lazarus és a 3CX-kompromisszum között meglévő kapcsolat megerősítésében.
A DreamJob művelet Linuxos teherrel
A Lazarus csoport DreamJob művelete magában foglalja a célok elérését a LinkedInen keresztül, és az iparág vezetőitől származó állásajánlatokkal csábítja őket. A nevet a ClearSky találta ki a papír Ez a dokumentum egy Lazarus kiberkémkampányt ír le, amely védelmi és repülőgépipari vállalatokat céloz meg. Ez a tevékenység átfedésben van az általunk úgynevezett In(ter)ception hadművelettel, egy sor kiberkémtámadással, amely legalább azóta tart. szeptember 2019. Repülési, katonai és védelmi vállalatokat céloz meg, és konkrét rosszindulatú, kezdetben csak Windows rendszerű eszközöket használ. 2022 júliusában és augusztusában két olyan Operation In(ter)ception esetet találtunk, amely a macOS-t célozta meg. Egy rosszindulatú programmintát küldtek be a címre VirusTotal Brazíliából, egy másik támadás pedig egy ESET-felhasználót célzott Argentínában. Néhány héttel ezelőtt egy natív Linuxos rakományt találtak a VirusTotalon egy HSBC témájú PDF csalival. Ezzel teljessé válik a Lazarus azon képessége, hogy az összes főbb asztali operációs rendszert megcélozza.
Március 20th, egy Georgia országbeli felhasználó benyújtott a VirusTotalnak egy ZIP archívumot, melynek neve HSBC állásajánlat.pdf.zip. Tekintettel a Lazarus más DreamJob kampányaira, ezt a hasznos terhet valószínűleg adathalászattal vagy közvetlen üzenetekkel terjesztették a LinkedIn-en. Az archívum egyetlen fájlt tartalmaz: egy natív, 64 bites Intel Linux bináris fájlt, amely Go nyelven íródott, és a neve HSBC állásajánlat․pdf.
Érdekes módon a fájl kiterjesztése nem . Pdf. Ez azért van, mert a látszólagos pont karakter a fájlnévben a vezető pont az U+2024 Unicode karakter képviseli. A vezető pont használata a fájlnévben valószínűleg megpróbálta rávenni a fájlkezelőt, hogy a fájlt PDF helyett végrehajtható fájlként kezelje. Ez azt eredményezheti, hogy a fájl dupla kattintásra fut, ahelyett, hogy PDF-nézegetővel nyitná meg. Végrehajtáskor egy csali PDF jelenik meg a felhasználó számára xdg-open, amely megnyitja a dokumentumot a felhasználó által preferált PDF-megjelenítővel (lásd: 3. ábra). Úgy döntöttünk, hogy ezt az ELF letöltőt OdicLoadernek nevezzük, mivel hasonló szerepe van, mint az IconicLoadersnek más platformokon, és a hasznos terhelés az OpenDrive-ból származik.
Az OdicLoader eldob egy csali PDF-dokumentumot, megjeleníti azt a rendszer alapértelmezett PDF-megjelenítőjével (lásd: 2. ábra), majd letölt egy második lépcsős hátsó ajtót a OpenDrive felhő szolgáltatás. A letöltött fájl a következő helyen tárolódik ~/.config/guiconfigd (SHA-1: 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF). Ezt a második lépcsős hátsó ajtót SimplexTeának hívjuk.
A végrehajtás utolsó lépéseként az OdicLoader módosul ~ / .bash_profile, így a SimplexTea elindul a Bash segítségével, és a kimenete elnémul (~/.config/guiconfigd >/dev/null 2>&1).
A SimplexTea egy C++ nyelven írt Linux hátsó ajtó. Amint az 1. táblázatban látható, az osztálynevek nagyon hasonlóak a mintában található függvénynevekhez, fájlnévvel sysnetd, Romániából küldték be a VirusTotalnak (SHA-1: F6760FB1F8B019AF2304EA6410001B63A1809F1D). A SimplexTea és a függvények osztályneveinek és függvényneveinek hasonlósága miatt sysnetd, úgy gondoljuk, hogy a SimplexTea egy frissített változat, C-ről C++-ra átírva.
1. táblázat: A VirusTotalnak benyújtott két Linux hátsó ajtó eredeti szimbólumneveinek összehasonlítása
guiconfigd |
sysnetd |
CMsgCmd::Start(érvénytelen) | MSG_Cmd |
CmsgBiztosDel::Start(érvénytelen) | MSG_Del |
CMsgDir::Start(érvénytelen) | MSG_Dir |
CMsgDown::Start(érvénytelen) | MSG_Le |
CMsgExit::Start(érvénytelen) | MSG_Kilépés |
CMsgReadConfig::Start(érvénytelen) | MSG_ReadConfig |
CMsgRun::Start(érvénytelen) | MSG_Run |
CMsgSetPath::Start(érvénytelen) | MSG_SetPath |
CMsgSleep::Start(érvénytelen) | MSG_Sleep |
CMsgTest::Start(érvénytelen) | MSG_Test |
CMsgUp::Start(érvénytelen) | MSG_Up |
CMsgWriteConfig::Start(érvénytelen) | MSG_WriteConfig |
MSG_GetComInfo | |
CMsgHibernate::Start(void) | |
CMsgKeepCon::Start(void) | |
CMsgZipDown::Start(void) | |
CMsgZip::StartZip(void *) | |
CMsgZip::Start(void) | |
CHttpWrapper::RecvData(uchar *&,uint *,uint,signed char) | |
RecvMsg | |
CHttpWrapper::Üzenet küldése(_MSG_STRUCT *) | Üzenet küldése |
CHttpWrapper::Adatok küldése(uchar *,uint,uint) | |
CHttpWrapper::SendMsg(uint,uint,uchar *,uint,uint) | |
CHttpWrapper::Bejelentkezési adatok küldése(uchar *,uint,uchar *&,uint *) |
Mennyire jobb az sysnetd Lázárhoz kapcsolódik? A következő szakasz hasonlóságokat mutat be a Lazarus BADCALL nevű Windows hátsó ajtajával.
BADCALL Linuxhoz
tulajdonítunk sysnetd Lazarusnak, mert hasonlóak a következő két fájlhoz (és úgy gondoljuk sysnetd a csoport BADCALL nevű Windows-hátsóajtójának Linux-változata):
- P2P_DLL.dll (SHA-1: 65122E5129FC74D6B5EBAFCC3376ABAE0145BC14), amely kód hasonlóságot mutat a sysnetd hamis TLS kapcsolat előlapjaként használt tartományok formájában (lásd 4. ábra). A CISA Lázárnak tulajdonította ben december 2017. -Tól szeptember 2019, a CISA elkezdte hívni a rosszindulatú program újabb verzióit BADCALL (SHA-1: D288766FA268BC2534F85FD06A5D52264E646C47).
- prtspool (SHA-1: 58B0516D28BD7218B1908FB266B8FE7582E22A5F), amely kód hasonlóságot mutat a sysnetd (lásd 5. ábra). Lázárnak tulajdonította CISA 2021 februárjában. Vegye figyelembe azt is, hogy a SIMPLESEA, a 3CX incidensre adott válasz során talált macOS hátsó ajtó megvalósítja a Axnumx / xnumx folyam titkosítás.
A BADCALL hátsó ajtónak ez a linuxos verziója, sysnetdnevű fájlból tölti be a konfigurációját /tmp/vgauthsvclog. Mivel a Lazarus operátorok korábban álcázták a hasznos terheiket, ennek a névnek a használata, amelyet a VMware Guest Authentication szolgáltatás használ, arra utal, hogy a célrendszer egy Linux VMware virtuális gép lehet. Érdekes módon az XOR kulcs ebben az esetben ugyanaz, mint a SIMPLESEA-ban a 3CX vizsgálat során használt kulcs.
Ha megnézzük a három 32 bites egész számot, 0xC2B45678, 0x90ABCDEFés 0xFE268455 Az 5. ábrából, amely az A5/1 titkosítás egyéni megvalósításának kulcsát ábrázolja, rájöttünk, hogy ugyanazt az algoritmust és azonos kulcsokat használták a Windows rosszindulatú programjaiban, amelyek 2014 végére nyúlnak vissza, és részt vettek az egyik legtöbb hírhedt Lazarus-ügyek: a Sony Pictures Entertainment kiberszabotázsa (SHA-1: 1C66E67A8531E3FF1C64AE57E6EDFDE7BEF2352D).
További hozzárendelési adatpontok
Összefoglalva az eddigieket, a 3CX ellátási lánc támadást a Lazarus csoportnak tulajdonítjuk, nagy bizalommal. Ez a következő tényezőkön alapul:
- Rosszindulatú program (a behatoló készlet):
- Az IconicLoader (samcli.dll) ugyanolyan típusú erős titkosítást – AES-GCM – használ, mint a SimplexTea (amelynek a Lazarushoz való hozzárendelését a BALLCALL for Linuxhoz hasonlóság alapján állapították meg); csak a kulcsok és az inicializálási vektorok különböznek.
- A PE gazdag fejlécek alapján mindkét IconicLoader (samcli.dll) és az IconicStealer (sechost.dll) hasonló méretű projektek, és ugyanabban a Visual Studio környezetben vannak lefordítva, mint a végrehajtható fájlok iertutil.dll (SHA-1: 5B03294B72C0CAA5FB20E7817002C600645EB475) És iertutil.dll (SHA-1: 7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC) jelentette a Lazarus kriptovaluta kampányokban Volexitás és a microsoft. Alább szerepel a YARA szabály RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023, amely megjelöli ezeket a mintákat, és nem tartalmaz nem kapcsolódó rosszindulatú vagy tiszta fájlokat, amint azt a jelenlegi ESET-adatbázisokon és a legutóbbi VirusTotal-beküldéseken tesztelték.
- A SimplexTea payload konfigurációját a SIMPLESEA malware-hez nagyon hasonló módon tölti be a 3CX hivatalos incidensre adott válaszából. Az XOR billentyű eltér (0x5E vs 0x7E), de a konfiguráció ugyanazt a nevet viseli: apdl.cf (lásd 8. ábra).
- Infrastruktúra:
- A SimplexTea által használt hálózati infrastruktúra megosztott https://journalide[.]org/djour.php mint a C&C, amelynek domainje a hivatalos eredmények a Mandiant 3CX-kompromisszumának incidensre adott válaszáról.
Következtetés
A 3CX kompromisszum március 29-i nyilvánosságra hozatala óta nagy figyelmet kapott a biztonsági közösségben.th. Ez a különféle informatikai infrastruktúrákon telepített, kompromittált szoftver, amely lehetővé teszi bármilyen hasznos teher letöltését és végrehajtását, pusztító hatásokkal járhat. Sajnos egyetlen szoftverkiadó sem mentes a kompromittálódástól és az alkalmazásaik trójai változatának véletlen terjesztésétől.
Az ellátási lánc támadásainak lopakodósága nagyon vonzóvá teszi a rosszindulatú programok terjesztésének ezt a módszerét a támadók szemszögéből. Lázár már használta ezt a technikát A múltban a WIZVERA VeraPort szoftver dél-koreai felhasználóit célozta meg 2020-ban. A hasonlóságok a Lazarus eszközkészletből származó meglévő rosszindulatú szoftverekkel és a csoport tipikus technikáival erősen azt sugallják, hogy a közelmúltbeli 3CX kompromisszum szintén Lazarus munkája.
Érdekes megjegyezni azt is, hogy a Lazarus képes rosszindulatú programokat előállítani és használni az összes főbb asztali operációs rendszerhez: Windows, macOS és Linux. A 3CX incidens során a Windows és a macOS rendszereket is célba vették, a 3CX mindkét operációs rendszer VoIP-szoftvere trójai lett, hogy rosszindulatú kódot tartalmazzon tetszőleges hasznos adatok lekéréséhez. A 3CX esetében mind a Windows, mind a macOS második fokozatú malware verziója létezik. Ez a cikk egy olyan Linux-hátsó ajtó létezését mutatja be, amely valószínűleg megfelel a 3CX incidensben észlelt SIMPLESEA macOS kártevőnek. Ezt a Linux-komponenst SimplexTea-nak neveztük el, és megmutattuk, hogy az Operation DreamJob, a Lazarus zászlóshajó kampányának része, amely állásajánlatokat használ a gyanútlan áldozatok csábítására és kompromittálására.
Az ESET Research privát APT intelligenciajelentéseket és adatfolyamokat kínál. Ha bármilyen kérdése van a szolgáltatással kapcsolatban, keresse fel a ESET Threat Intelligence cimre.
IoCs
Fájlok
SHA-1 | Filename | ESET észlelési név | Leírás |
---|---|---|---|
0CA1723AFE261CD85B05C9EF424FC50290DCE7DF | guiconfigd | Linux/NukeSped.E | SimplexTea Linuxhoz. |
3A63477A078CE10E53DFB5639E35D74F93CEFA81 | HSBC_állásajánlat․pdf | Linux/NukeSped.E | Az OdicLoader, egy 64 bites letöltő Linuxhoz, Go nyelven írva. |
9D8BADE2030C93D0A010AA57B90915EB7D99EC82 | HSBC_job_offer.pdf.zip | Linux/NukeSped.E | ZIP-archívum Linux hasznos adattartalommal, a VirusTotaltól. |
F6760FB1F8B019AF2304EA6410001B63A1809F1D | sysnetd | Linux/NukeSped.G | BADCALL Linuxhoz. |
Először látott | 2023-03-20 12:00:35 |
---|---|
MD5 | CEDB9CDBAD254F60CFB215B9BFF84FB9 |
SHA-1 | 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF |
SHA-256 | EEBB01932DE0B5605DD460CC82844D8693C00EA8AB5FFDF8DBEDE6528C1C18FD |
Filename | guiconfigd |
Leírás | SimplexTea Linuxhoz. |
C&C | https://journalide[.]org/djour.php |
Letöltött | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
Érzékelés | Linux/NukeSped.E |
PE fordítási időbélyeg | N / A |
Először látott | 2023-03-16 07:44:18 |
---|---|
MD5 | 3CF7232E5185109321921046D039CF10 |
SHA-1 | 3A63477A078CE10E53DFB5639E35D74F93CEFA81 |
SHA-256 | 492A643BD1EFDACA4CA125ADE1B606E7BBF00E995AC9115AC84D1C4C59CB66DD |
Filename | HSBC_állásajánlat․pdf |
Leírás | Az OdicLoader, egy 64 bites letöltő Linuxhoz, a Go-ban. |
C&C | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
Letöltött | N / A |
Érzékelés | Linux/NukeSped.E |
PE fordítási időbélyeg | N / A |
Először látott | 2023-03-20 02:23:29 |
---|---|
MD5 | FC41CB8425B6432AF8403959BB59430D |
SHA-1 | 9D8BADE2030C93D0A010AA57B90915EB7D99EC82 |
SHA-256 | F638E5A20114019AD066DD0E856F97FD865798D8FBED1766662D970BEFF652CA |
Filename | HSBC_job_offer.pdf.zip |
Leírás | ZIP-archívum Linux hasznos adattartalommal, a VirusTotaltól. |
C&C | N / A |
Letöltött | N / A |
Érzékelés | Linux/NukeSped.E |
PE fordítási időbélyeg | N / A |
Először látott | 2023-02-01 23:47:05 |
---|---|
MD5 | AAC5A52B939F3FE792726A13FF7A1747 |
SHA-1 | F6760FB1F8B019AF2304EA6410001B63A1809F1D |
SHA-256 | CC307CFB401D1AE616445E78B610AB72E1C7FB49B298EA003DD26EA80372089A |
Filename | sysnetd |
Leírás | BADCALL Linuxhoz. |
C&C | tcp://23.254.211[.]230 |
Letöltött | N / A |
Érzékelés | Linux/NukeSped.G |
PE fordítási időbélyeg | N / A |
Hálózat
IP-cím | Domén | Tárhelyszolgáltató | Először látott | Részletek |
---|---|---|---|---|
23.254.211[.]230 | N / A | Hostwinds LLC. | N / A | C&C szerver a BADCALL for Linux számára |
38.108.185[.]79 38.108.185[.]115 |
od[.]lk | Cogent Communications | 2023-03-16 | SimplexTea-t tartalmazó távoli OpenDrive tárhely (/d/NTJfMzg4MDE1NzJf/vxmedia) |
172.93.201[.]88 | Journalide[.]org | Nexeon Technologies, Inc. | 2023-03-29 | C&C szerver a SimplexTea számára (/djour.php) |
MITER ATT&CK technikák
taktika | ID | Név | Leírás |
---|---|---|---|
Felderítés | T1593.001 | Keresés a megnyitott webhelyeken/domainekben: közösségi média | A Lazarus támadói valószínűleg egy hamis HSBC témájú állásajánlattal közelítettek meg egy célpontot, amely megfelelt a célpont érdeklődésének. Ez a múltban többnyire a LinkedInen keresztül történt. |
Erőforrás-fejlesztés | T1584.001 | Infrastruktúra megszerzése: Domain | Ellentétben sok korábbi esettel, amikor az Operation DreamJobban használt C&C-k kompromittálódtak, a Lazarus operátorok saját tartományukat regisztrálták a Linux célponthoz. |
T1587.001 | Fejlesztési képességek: Malware | A támadásból származó egyedi eszközöket nagy valószínűséggel a támadók fejlesztették ki. | |
T1585.003 | Fiókok létrehozása: Cloud-fiókok | A támadók az OpenDrive felhőszolgáltatás utolsó szakaszának adták otthont. | |
T1608.001 | Stage képességek: rosszindulatú programok feltöltése | A támadók az OpenDrive felhőszolgáltatás utolsó szakaszának adták otthont. | |
Végrehajtás | T1204.002 | Felhasználói végrehajtás: rosszindulatú fájl | Az OdicLoader PDF fájlnak álcázza magát, hogy becsapja a célpontot. |
Kezdeti hozzáférés | T1566.002 | Adathalászat: Spearphishing Link | A cél valószínűleg egy harmadik féltől származó távoli tárolóra mutató hivatkozást kapott egy rosszindulatú ZIP archívumot, amelyet később elküldtek a VirusTotalnak. |
Kitartás | T1546.004 | Esemény által kiváltott végrehajtás: Unix Shell konfiguráció módosítása | Az OdicLoader módosítja az áldozat Bash profilját, így a SimplexTea minden alkalommal elindul, amikor a Bash-t megbámulják és a kimenetét elnémítják. |
Védelmi kijátszás | T1134.002 | Hozzáférési token manipuláció: Hozzon létre folyamatot tokennel | A SimplexTea új folyamatot hozhat létre, ha a C&C szerver utasítja. |
T1140 | Fájlok vagy információk deobfuszkálása/dekódolása | A SimplexTea a konfigurációját titkosított formában tárolja apdl.cf. | |
T1027.009 | Elhomályosított fájlok vagy információk: beágyazott hasznos terhek | Az összes rosszindulatú lánc dropperei egy beágyazott adattömböt tartalmaznak egy további fokozattal. | |
T1562.003 | Csökkentse a védelmet: Csökkentse a parancsok előzményeinek naplózását | Az OdicLoader módosítja az áldozat Bash profilját, így a SimplexTea kimeneti és hibaüzenetei elnémulnak. A SimplexTea új folyamatokat hajt végre ugyanazzal a technikával. | |
T1070.004 | Jelző eltávolítása: Fájl törlése | A SimplexTea képes a fájlok biztonságos törlésére. | |
T1497.003 | Virtualizáció/Sandbox Evasion: Time Based Evasion | A SimplexTea több egyedi alvási késleltetést valósít meg a végrehajtása során. | |
Felfedezés | T1083 | Fájl- és könyvtárfelderítés | A SimplexTea listázhatja a címtár tartalmát nevükkel, méretükkel és időbélyegeikkel együtt (utánozva a ls-la parancs). |
Vezetési és Irányítási | T1071.001 | Alkalmazási réteg protokoll: Web Protocols | A SimplexTea HTTP-t és HTTPS-t használhat a C&C szerverével való kommunikációhoz, statikusan csatolt Curl könyvtár használatával. |
T1573.001 | Titkosított csatorna: Szimmetrikus kriptográfia | A SimplexTea titkosítja a C&C forgalmat az AES-GCM algoritmus segítségével. | |
T1132.001 | Adatkódolás: Szabványos kódolás | A SimplexTea a C&C forgalmat a base64 használatával kódolja. | |
T1090 | meghatalmazott | A SimplexTea proxyt használhat a kommunikációhoz. | |
Kiszűrés | T1041 | Exfiltration Over C2 Channel | A SimplexTea ZIP-archívumként képes kiszűrni az adatokat a C&C szerverére. |
Függelék
Ez a YARA-szabály megjelöli az IconicLoader-t és az IconicStealer-t is tartalmazó klasztert, valamint a 2022 decemberétől a kriptovaluta kampányokban telepített hasznos terheket.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
/* The following rule will only work with YARA version >= 3.11.0 */ import “pe” rule RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023 { meta: description = ” Rich Headers-based rule covering the IconicLoader and IconicStealer from the 3CX supply chain incident, and also payloads from the cryptocurrency campaigns from 2022-12″ author = “ESET Research” date = “2023-03-31” hash = “3B88CDA62CDD918B62EF5AA8C5A73A46F176D18B” hash = “CAD1120D91B812ACAFEF7175F949DD1B09C6C21A” hash = “5B03294B72C0CAA5FB20E7817002C600645EB475” hash = “7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC” condition: pe.rich_signature.toolid(259, 30818) == 9 and pe.rich_signature.toolid(256, 31329) == 1 and pe.rich_signature.toolid(261, 30818) >= 30 and pe.rich_signature.toolid(261, 30818) <= 38 and pe.rich_signature.toolid(261, 29395) >= 134 and pe.rich_signature.toolid(261, 29395) <= 164 and pe.rich_signature.toolid(257, 29395) >= 6 and pe.rich_signature.toolid(257, 29395) <= 14 } |
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- A jövő pénzverése – Adryenn Ashley. Hozzáférés itt.
- Forrás: https://www.welivesecurity.com/2023/04/20/linux-malware-strengthens-links-lazarus-3cx-supply-chain-attack/
- :van
- :is
- :nem
- $ UP
- 000
- 000 vásárló
- 1
- 11
- 20
- 2014
- 2020
- 2021
- 2022
- 2023
- 39
- 7
- 8
- 9
- a
- képesség
- Képes
- Rólunk
- felett
- Szerint
- Fiók
- Fiókok
- tevékenység
- szereplők
- hozzáadott
- További
- légtér
- érintő
- ellen
- algoritmus
- Minden termék
- lehetővé teszi, hogy
- mellett
- már
- Is
- között
- an
- Az elemzők
- és a
- Másik
- bármilyen
- app
- látszólagos
- tetszetős
- Alkalmazás
- alkalmazások
- közeledik
- április
- APT
- Archív
- VANNAK
- Argentína
- Sor
- cikkben
- cikkek
- AS
- At
- támadás
- Támadások
- figyelem
- Augusztus
- Hitelesítés
- szerző
- vissza
- hátsó ajtó
- Hátsóajtó
- támogatás
- Rossz
- alapján
- horpadás
- BE
- Medvék
- mert
- óta
- előtt
- Kezdet
- mögött
- hogy
- Hisz
- lent
- között
- mindkét
- Brazília
- böngésző
- by
- C + +
- hívás
- hívott
- Kampány
- Kampányok
- TUD
- nem tud
- képességek
- eset
- esetek
- Okoz
- lánc
- láncok
- csatorna
- karakter
- rejtjel
- CISO
- követelés
- osztály
- vásárló
- felhő
- felhő tárolási
- Fürt
- kód
- megalkotta
- COM
- Közös
- közlés
- távközlés
- közösség
- Companies
- vállalat
- Társaságé
- összehasonlítás
- Befejezi
- bonyolult
- összetevő
- kompromisszum
- Veszélyeztetett
- feltétel
- lefolytatott
- bizalom
- Configuration
- megerősít
- összefüggő
- kapcsolat
- kapcsolat
- tartalmaz
- tartalmaz
- tartalom
- contribuer
- megfelel
- megerősítik
- tudott
- ország
- fedett
- fedő
- teremt
- készítette
- cryptocurrency
- Jelenlegi
- Jelenleg
- szokás
- Ügyfelek
- dátum
- adatbázisok
- találka
- Időpontok
- Nap
- halott
- december
- határozott
- alapértelmezett
- Védők
- Védelem
- késedelmek
- szállít
- igazolták
- mutatja
- telepített
- bevetés
- mélység
- leírás
- asztali
- részlet
- Érzékelés
- Határozzuk meg
- eltökélt
- pusztító
- fejlett
- Fejlesztő
- DID
- különbözik
- közvetlen
- közvetlenül
- közzététel
- felfedezett
- felfedezés
- kijelzők
- terjeszteni
- megosztott
- elosztó
- terjesztés
- dokumentum
- domain
- domainek
- DOT
- letöltés
- letöltések
- hajtott
- Csepp
- cseppek
- szinkronizált
- alatt
- minden
- Korai
- beágyazott
- engedélyezve
- titkosított
- titkosítás
- mérnök
- Mérnöki
- Szórakozás
- Környezet
- hiba
- ESET kutatás
- megalapozott
- Még
- események
- bizonyíték
- végrehajtja
- végrehajtás
- létező
- Magyarázza
- magyarázható
- kiterjesztés
- külső
- kivonat
- tényezők
- hamisítvány
- február
- Elhozták
- kevés
- Ábra
- filé
- Fájlok
- utolsó
- vezetéknév
- megfelelő
- zászlók
- zászlóshajó
- követ
- következő
- A
- forma
- formátum
- talált
- ból ből
- front
- Tele
- funkció
- Grúzia
- kap
- GitHub
- adott
- Go
- Csoport
- Csoportok
- Vendég
- hash
- Legyen
- he
- fejlécek
- Headlines
- egészségügyi
- segít
- segített
- elrejt
- Magas
- Kiemelt
- történelem
- vendégszeretet
- házigazdája
- Hogyan
- azonban
- HSBC
- HTML
- http
- HTTPS
- identiques
- Hatások
- végrehajtás
- munkagépek
- importál
- in
- incidens
- eseményre adott válasz
- tartalmaz
- Beleértve
- ipar
- aljas
- információ
- Infrastruktúra
- infrastruktúrák
- alapvetően
- Érdeklődés
- telepítve
- helyette
- Intel
- Intelligencia
- kamat
- érdekes
- Nemzetközi
- bele
- vizsgálja
- vizsgálat
- részt
- IT
- ITS
- maga
- január
- Munka
- JOE
- július
- Kaspersky
- Kulcs
- kulcsok
- Kedves
- tudás
- koreai
- keresztnév
- Tavaly
- Késő
- indított
- réteg
- Lázár
- Lazarus csoport
- vezető
- vezetők
- szint
- könyvtár
- Valószínű
- LINK
- összekapcsolt
- linkek
- linux
- Lista
- LLC
- rakodó
- betöltés
- terhelések
- Hosszú
- néz
- Sok
- gép
- gép
- MacOS
- készült
- fontos
- KÉSZÍT
- malware
- menedzser
- Manipuláció
- sok
- térkép
- március
- max-width
- Lehet..
- említett
- üzenetek
- meta
- Metaadatok
- módszer
- microsoft
- esetleg
- Katonai
- Mobil
- Mobil alkalmazás
- több
- a legtöbb
- többszörös
- titokzatos
- név
- Nevezett
- ugyanis
- nevek
- bennszülött
- Se
- hálózat
- Új
- következő
- Északi
- hirhedt
- of
- ajánlat
- Ajánlatok
- hivatalos
- on
- ONE
- folyamatban lévő
- csak
- nyitva
- nyitás
- üzemeltetési
- operációs rendszer
- működés
- üzemeltetők
- or
- érdekében
- szervezetek
- eredeti
- Más
- mi
- teljesítmény
- felett
- saját
- P&E
- oldal
- Papír
- rész
- múlt
- perspektíva
- telefon
- képek
- tervezett
- Platformok
- Plató
- Platón adatintelligencia
- PlatoData
- kérem
- előnyben részesített
- jelenlét
- előző
- korábban
- Előzetes
- magán
- valószínűleg
- folyamat
- Folyamatok
- gyárt
- profil
- projektek
- protokoll
- ad
- feltéve,
- biztosít
- amely
- meghatalmazott
- nyilvános
- nyilvánosan
- közzétett
- kiadó
- gyorsan
- Inkább
- realizált
- újrafutóz
- kapott
- új
- nemrég
- nyilvántartott
- összefüggő
- kapcsolat
- távoli
- eltávolítás
- jelentést
- Számolt
- Jelentések
- képvisel
- képviselők
- kutatás
- kutató
- kutatók
- válasz
- Revealed
- Gazdag
- Szerep
- Románia
- Szabály
- futás
- futás
- azonos
- másodperc
- Rész
- ágazatok
- biztosan
- biztonság
- Series of
- Szerverek
- szolgáltatás
- Szolgáltatások
- készlet
- számos
- megosztott
- Héj
- Műsorok
- aláírt
- jelentős
- hasonló
- hasonlóságok
- óta
- egyetlen
- Méret
- méretek
- alvás
- So
- eddig
- Közösség
- Szociális tervezés
- szoftver
- néhány
- valami
- Sony
- Dél
- Dél-koreai
- különleges
- Színpad
- állapota
- standard
- kezdődött
- Államok
- Lépés
- tárolás
- memorizált
- árnyékolók
- folyam
- Meg kell erősíteni
- erősíti
- erős
- erősen
- stúdió
- Beküldött
- benyújtott
- lényeges
- javasolja,
- kínálat
- ellátási lánc
- szimbólum
- szintaxis
- rendszer
- Systems
- táblázat
- cél
- célzott
- célzás
- célok
- Műszaki
- technikák
- Technologies
- mint
- hogy
- A
- azok
- Őket
- maguk
- Ezek
- harmadik fél
- ezt
- fenyegetés
- fenyegetés szereplői
- három
- Keresztül
- idő
- időrendben
- típus
- nak nek
- együtt
- jelképes
- szerszám
- szerszámok
- forgalom
- kezelésére
- váltott
- tipikus
- tipográfia
- unix
- Frissítések
- frissítve
- URL
- us
- használ
- használt
- használó
- Felhasználók
- hasznosít
- Változat
- különféle
- eladó
- változat
- keresztül
- Áldozat
- áldozatok
- Tényleges
- virtuális gép
- Látogat
- vmware
- vs
- Wardle
- volt
- Út..
- we
- háló
- webböngésző
- weboldal
- Hetek
- JÓL
- voltak
- Mit
- vajon
- ami
- széles
- Wikipedia
- lesz
- ablakok
- val vel
- Munka
- lenne
- betakar
- írott
- év
- zephyrnet
- Postai irányítószám