Kemiripan dengan malware Linux yang baru ditemukan yang digunakan dalam Operasi DreamJob menguatkan teori bahwa kelompok yang selaras dengan Korea Utara berada di balik serangan rantai pasokan 3CX
Peneliti ESET telah menemukan kampanye Lazarus Operation DreamJob baru yang menargetkan pengguna Linux. Operation DreamJob adalah nama untuk serangkaian kampanye di mana grup tersebut menggunakan teknik rekayasa sosial untuk mengkompromikan targetnya, dengan tawaran pekerjaan palsu sebagai iming-imingnya. Dalam hal ini, kami dapat merekonstruksi rantai penuh, dari file ZIP yang mengirimkan tawaran pekerjaan HSBC palsu sebagai umpan, hingga muatan terakhir: pintu belakang SimplexTea Linux didistribusikan melalui OpenDrive akun penyimpanan awan. Sepengetahuan kami, ini adalah penyebutan publik pertama dari aktor ancaman besar yang selaras dengan Korea Utara ini menggunakan malware Linux sebagai bagian dari operasi ini.
Selain itu, penemuan ini membantu kami mengonfirmasi dengan tingkat kepercayaan yang tinggi bahwa serangan rantai pasokan 3CX baru-baru ini sebenarnya dilakukan oleh Lazarus – tautan yang dicurigai sejak awal dan ditunjukkan oleh beberapa peneliti keamanan sejak saat itu. Dalam posting blog ini, kami menguatkan temuan ini dan memberikan bukti tambahan tentang hubungan antara Lazarus dan serangan rantai pasokan 3CX.
Serangan rantai pasokan 3CX
3CX adalah pengembang dan distributor perangkat lunak VoIP internasional yang menyediakan layanan sistem telepon ke banyak organisasi. Menurut situs webnya, 3CX memiliki lebih dari 600,000 pelanggan dan 12,000,000 pengguna di berbagai sektor termasuk kedirgantaraan, kesehatan, dan perhotelan. Ini menyediakan perangkat lunak klien untuk menggunakan sistemnya melalui browser web, aplikasi seluler, atau aplikasi desktop. Pada akhir Maret 2023, ditemukan bahwa aplikasi desktop untuk Windows dan macOS berisi kode berbahaya yang memungkinkan sekelompok penyerang mengunduh dan menjalankan kode arbitrer di semua mesin tempat aplikasi diinstal. Dengan cepat, ditentukan bahwa kode berbahaya ini bukanlah sesuatu yang ditambahkan sendiri oleh 3CX, tetapi bahwa 3CX telah disusupi dan perangkat lunaknya digunakan dalam serangan rantai pasokan yang didorong oleh pelaku ancaman eksternal untuk mendistribusikan malware tambahan ke pelanggan 3CX tertentu.
Insiden dunia maya ini telah menjadi berita utama dalam beberapa hari terakhir. Awalnya dilaporkan pada 29 Maretth, 2023 di a Reddit utas oleh insinyur CrowdStrike, diikuti dengan laporan resmi oleh CrowdStrike, menyatakan dengan keyakinan tinggi bahwa LABIRINTH CHOLLIMA, nama kode perusahaan untuk Lazarus, berada di balik serangan tersebut (namun mengabaikan bukti yang mendukung klaim tersebut). Karena keseriusan insiden tersebut, banyak perusahaan keamanan mulai menyumbangkan ringkasan acara mereka, yaitu Sophos, Check Point, Broadcom, Trend Micro, Dan banyak lagi.
Selanjutnya, bagian dari serangan yang memengaruhi sistem yang menjalankan macOS dibahas secara mendetail di a Twitter benang dan blogpost oleh Patrick Wardle.
Jadwal kejadian
Garis waktu menunjukkan bahwa para pelaku telah merencanakan penyerangan jauh sebelum eksekusi; paling cepat Desember 2022. Ini menunjukkan bahwa mereka sudah memiliki pijakan di dalam jaringan 3CX akhir tahun lalu.
Sementara aplikasi macOS 3CX trojan menunjukkan bahwa itu ditandatangani pada akhir Januari, kami tidak melihat aplikasi yang buruk di telemetri kami hingga 14 Februarith, 2023. Tidak jelas apakah pembaruan berbahaya untuk macOS didistribusikan sebelum tanggal tersebut.
Meskipun telemetri ESET menunjukkan keberadaan muatan tahap kedua macOS pada awal Februari, kami tidak memiliki sampel itu sendiri, atau metadata untuk memberi tahu kami tentang kejahatannya. Kami menyertakan informasi ini untuk membantu para pembela HAM menentukan seberapa jauh sistem di masa lalu mungkin telah disusupi.
Beberapa hari sebelum serangan itu terungkap ke publik, pengunduh Linux misterius dikirimkan ke VirusTotal. Ini mengunduh payload berbahaya Lazarus baru untuk Linux dan kami menjelaskan hubungannya dengan serangan nanti di teks.
Atribusi serangan rantai pasokan 3CX ke Lazarus
Yang sudah dipublikasikan
Ada satu domain yang memainkan peran penting dalam penalaran atribusi kami: jurnalisde[.]org. Disebutkan dalam beberapa laporan vendor yang ditautkan di atas, tetapi keberadaannya tidak pernah dijelaskan. Menariknya, artikel oleh SentinelSatu dan Tujuan Lihat jangan menyebutkan domain ini. Blogpost juga tidak kelenturan, yang bahkan menahan diri untuk tidak memberikan atribusi, menyatakan “Volexity saat ini tidak dapat memetakan aktivitas yang diungkapkan ke aktor ancaman mana pun”. Analisnya termasuk yang pertama menyelidiki serangan itu secara mendalam dan mereka menciptakan alat untuk mengekstrak daftar server C&C dari ikon terenkripsi di GitHub. Alat ini berguna, karena penyerang tidak menyematkan server C&C secara langsung pada tahap peralihan, melainkan menggunakan GitHub sebagai penyelesaian dead drop. Tahap perantara adalah pengunduh untuk Windows dan macOS yang kami nyatakan sebagai IconicLoaders, dan muatan yang mereka dapatkan masing-masing sebagai IconicStealer dan UpdateAgent.
Pada bulan Maret 30th, Joe Desimone, seorang peneliti keamanan dari Keamanan elastis, termasuk yang pertama menyediakan, dalam a Twitter utas, petunjuk substansial bahwa kompromi yang digerakkan oleh 3CX mungkin terkait dengan Lazarus. Dia mengamati bahwa rintisan shellcode ditambahkan ke payload from d3dcompiler_47.dll mirip dengan stub loader AppleJeus yang dikaitkan dengan Lazarus oleh CISA kembali pada bulan April 2021.
Pada bulan Maret 31st dulu makhluk melaporkan bahwa 3CX telah mempertahankan Mandiant untuk menyediakan layanan respons insiden yang berkaitan dengan serangan rantai pasokan.
Pada 3 Aprilrd, Kaspersky, melalui telemetrinya, menunjukkan hubungan langsung antara korban rantai pasokan 3CX dan penerapan pintu belakang yang dijuluki Gopuram, keduanya melibatkan muatan dengan nama yang sama, penjaga64.dll. Data Kaspersky menunjukkan bahwa Gopuram terhubung ke Lazarus karena ia hidup berdampingan di mesin korban AppleJeus, malware yang sudah dikaitkan dengan Lazarus. Baik Gopuram dan AppleJeus diamati dalam serangan terhadap perusahaan cryptocurrency.
Lalu, pada 11 Aprilth, CISO dari 3CX merangkum temuan sementara Mandiant dalam a blogpost. Menurut laporan tersebut, dua sampel malware Windows, pemuat kode shell bernama TAXHAUL dan pengunduh kompleks bernama COLDCAT, terlibat dalam penyusupan 3CX. Tidak ada hash yang diberikan, tetapi aturan YARA Mandiant, bernama TAXHAUL, juga memicu sampel lain yang sudah ada di VirusTotal:
- SHA-1: 2ACC6F1D4656978F4D503929B8C804530D7E7CF6 (ualapi.dll),
- SHA-1: DCEF83D8EE080B54DC54759C59F955E73D67AA65 (wlbsctrl.dll)
Nama file, tetapi bukan MD5, dari sampel ini sama dengan nama dari posting blog Kaspersky. Namun, 3CX secara eksplisit menyatakan bahwa COLDCAT berbeda dengan Gopuram.
Bagian selanjutnya berisi deskripsi teknis muatan Linux jahat Lazarus baru yang baru-baru ini kami analisis, serta bagaimana hal itu membantu kami memperkuat hubungan yang ada antara Lazarus dan kompromi 3CX.
Operasi DreamJob dengan muatan Linux
Operasi DreamJob grup Lazarus melibatkan pendekatan target melalui LinkedIn dan menggoda mereka dengan tawaran pekerjaan dari para pemimpin industri. Nama itu diciptakan oleh ClearSky di a kertas diterbitkan pada Agustus 2020. Makalah itu menjelaskan kampanye spionase siber Lazarus yang menargetkan perusahaan pertahanan dan kedirgantaraan. Kegiatan tersebut tumpang tindih dengan apa yang kami sebut Operasi In(ter)ception, serangkaian serangan cyberespionage yang telah berlangsung setidaknya sejak September 2019. Ini menargetkan perusahaan kedirgantaraan, militer, dan pertahanan dan menggunakan alat khusus yang berbahaya, awalnya hanya untuk Windows. Selama Juli dan Agustus 2022, kami menemukan dua contoh Operasi In(ter)ception yang menargetkan macOS. Satu sampel malware telah dikirimkan ke VirusTotal dari Brasil, dan serangan lain menargetkan pengguna ESET di Argentina. Beberapa minggu yang lalu, muatan Linux asli ditemukan di VirusTotal dengan iming-iming PDF bertema HSBC. Ini melengkapi kemampuan Lazarus untuk menargetkan semua sistem operasi desktop utama.
Pada bulan Maret 20th, seorang pengguna di negara Georgia mengirimkan ke VirusTotal sebuah arsip ZIP bernama Penawaran pekerjaan HSBC.pdf.zip. Mengingat kampanye DreamJob lainnya oleh Lazarus, muatan ini mungkin didistribusikan melalui spearphishing atau pesan langsung di LinkedIn. Arsip berisi satu file: biner Intel Linux 64-bit asli yang ditulis dalam Go dan diberi nama Penawaran pekerjaan HSBC․pdf.
Menariknya, ekstensi file tidak .pdf. Ini karena karakter titik yang tampak pada nama file adalah a titik pemimpin diwakili oleh karakter Unicode U+2024. Penggunaan titik pemimpin dalam nama file mungkin merupakan upaya untuk mengelabui pengelola file agar memperlakukan file tersebut sebagai file yang dapat dieksekusi alih-alih PDF. Ini dapat menyebabkan file berjalan saat diklik dua kali alih-alih membukanya dengan penampil PDF. Pada eksekusi, PDF umpan ditampilkan kepada pengguna menggunakan xdg-terbuka, yang akan membuka dokumen menggunakan penampil PDF pilihan pengguna (lihat Gambar 3). Kami memutuskan untuk menamai pengunduh ELF ini OdicLoader, karena memiliki peran yang mirip dengan IconicLoaders di platform lain dan muatannya diambil dari OpenDrive.
OdicLoader menjatuhkan dokumen PDF umpan, menampilkannya menggunakan penampil PDF default sistem (lihat Gambar 2), dan kemudian mengunduh backdoor tahap kedua dari OpenDrive layanan awan. File yang diunduh disimpan di ~/.config/guiconfigd (SHA-1: 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF). Kami menyebutnya SimplexTea pintu belakang tahap kedua ini.
Sebagai langkah terakhir dari eksekusinya, OdicLoader melakukan modifikasi ~ / .bash_profile, jadi SimplexTea diluncurkan dengan Bash dan hasilnya dibisukan (~/.config/guiconfigd >/dev/null 2>&1).
SimplexTea adalah backdoor Linux yang ditulis dalam C++. Seperti yang disorot pada Tabel 1, nama kelasnya sangat mirip dengan nama fungsi yang ditemukan dalam sampel, dengan nama file sysnetd, dikirim ke VirusTotal dari Rumania (SHA-1: F6760FB1F8B019AF2304EA6410001B63A1809F1D). Karena kemiripan nama kelas dan nama fungsi antara SimplexTea dan sysnetd, kami yakin SimplexTea adalah versi terbaru, ditulis ulang dari C ke C++.
Tabel 1. Perbandingan nama simbol asli dari dua backdoor Linux yang dikirimkan ke VirusTotal
guiconfigd |
sysnetd |
CPesanCmd:: Mulai (batal) | MSG_Cmd |
CpesanAmanDari:: Mulai (batal) | MSG_Del |
CMsgDir:: Mulai (batal) | MSG_Dir |
CSMS:: Mulai (batal) | MSG_Down |
CPesan Keluar:: Mulai (batal) | MSG_Keluar |
CMsgReadConfig:: Mulai (batal) | MSG_ReadConfig |
CMsgRun:: Mulai (batal) | MSG_Jalankan |
CJalur PesanSet:: Mulai (batal) | MSG_SetPath |
CPesan Tidur:: Mulai (batal) | MSG_Tidur |
CTes Pesan:: Mulai (batal) | MSG_Tes |
CPesan:: Mulai (batal) | MSG_Naik |
CMsgWriteConfig:: Mulai (batal) | MSG_WriteConfig |
MSG_GetComInfo | |
CMsgHibernate::Mulai(batal) | |
CMsgKeepCon::Mulai(batal) | |
CMsgZipDown::Mulai(batal) | |
CMsgZip::StartZip(batal *) | |
CMsgZip::Mulai(batal) | |
CHttpWrapper::RecvData(uchar *&,uint *,uint,signed char) | |
Pesan Terima | |
CHttpWrapper::Kirim pesan(_MSG_STRUKT*) | Kirim pesan |
CHttpWrapper::SendData(uchar *,uint,uint) | |
CHttpWrapper::SendMsg(uint,uint,uchar *,uint,uint) | |
CHttpWrapper::SendLoginData(uchar *,uint,uchar *&,uint *) |
Bagaimana sysnetd berhubungan dengan Lazarus? Bagian berikut menunjukkan kesamaan dengan backdoor Windows milik Lazarus yang disebut BADCALL.
BADCALL untuk Linux
Kami atribut sysnetd kepada Lazarus karena kemiripannya dengan dua berkas berikut (dan kami percaya bahwa sysnetd adalah varian Linux dari backdoor grup untuk Windows yang disebut BADCALL):
- P2P_DLL.dll (SHA-1: 65122E5129FC74D6B5EBAFCC3376ABAE0145BC14), yang menunjukkan kemiripan kode dengan sysnetd dalam bentuk domain yang digunakan sebagai kedok untuk koneksi TLS palsu (lihat Gambar 4). Itu dikaitkan dengan Lazarus oleh CISA di Desember 2017. Dari September 2019, CISA mulai memanggil versi yang lebih baru dari malware ini BADCALL (SHA-1: D288766FA268BC2534F85FD06A5D52264E646C47).
- prtspool (SHA-1: 58B0516D28BD7218B1908FB266B8FE7582E22A5F), yang menunjukkan kemiripan kode dengan sysnetd (lihat Gambar 5). Itu dikaitkan dengan Lazarus oleh CISA pada Februari 2021. Perhatikan juga bahwa SIMPLESEA, pintu belakang macOS yang ditemukan selama respons insiden 3CX, mengimplementasikan A5 / 1 sandi aliran.
Backdoor BADCALL versi Linux ini, sysnetd, memuat konfigurasinya dari file bernama /tmp/vgauthsvclog. Karena operator Lazarus sebelumnya telah menyamarkan payload mereka, penggunaan nama ini, yang digunakan oleh layanan VMware Guest Authentication, menunjukkan bahwa sistem yang ditargetkan mungkin adalah mesin virtual Linux VMware. Menariknya, kunci XOR dalam kasus ini sama dengan kunci yang digunakan di SIMPLESEA dari investigasi 3CX.
Lihatlah tiga bilangan bulat 32-bit, 0xC2B45678, 0x90ABCDEF, dan 0xFE268455 dari Gambar 5, yang mewakili kunci untuk implementasi kustom cipher A5/1, kami menyadari bahwa algoritme yang sama dan kunci identik digunakan di malware Windows sejak akhir tahun 2014 dan terlibat dalam salah satu kasus Lazarus yang terkenal: sabotase dunia maya dari Sony Pictures Entertainment (SHA-1: 1C66E67A8531E3FF1C64AE57E6EDFDE7BEF2352D).
Poin data atribusi tambahan
Untuk meringkas apa yang telah kami bahas sejauh ini, kami mengaitkan serangan rantai pasokan 3CX dengan kelompok Lazarus dengan tingkat kepercayaan yang tinggi. Ini didasarkan pada faktor-faktor berikut:
- Malware (set intrusi):
- IconicLoader (samcli.dll) menggunakan jenis enkripsi kuat yang sama – AES-GCM – seperti SimplexTea (yang atribusinya ke Lazarus dibuat melalui kesamaan dengan BALLCALL untuk Linux); hanya kunci dan vektor inisialisasi yang berbeda.
- Berdasarkan PE Rich Header, baik IconicLoader (samcli.dll) dan Pencuri Ikonik (sehost.dll) adalah proyek dengan ukuran yang sama dan dikompilasi dalam lingkungan Visual Studio yang sama dengan yang dapat dieksekusi iertutil.dll (SHA-1: 5B03294B72C0CAA5FB20E7817002C600645EB475) Dan iertutil.dll (SHA-1: 7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC) dilaporkan dalam kampanye cryptocurrency Lazarus oleh kelenturan dan Microsoft. Kami termasuk di bawah aturan YARA RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023, yang menandai semua sampel ini, dan tidak ada file berbahaya atau bersih yang tidak terkait, seperti yang diuji pada database ESET saat ini dan kiriman VirusTotal baru-baru ini.
- Muatan SimplexTea memuat konfigurasinya dengan cara yang sangat mirip dengan malware SIMPLESEA dari respons insiden resmi 3CX. Kunci XOR berbeda (0x5E vs 0x7E), tetapi konfigurasinya menggunakan nama yang sama: apdl.cf (lihat Gambar 8).
- Infrastruktur:
- Ada infrastruktur jaringan bersama dengan SimplexTea, seperti yang digunakannya https://journalide[.]org/djour.php karena C&C, yang domainnya dilaporkan di hasil resmi tanggapan insiden kompromi 3CX oleh Mandiant.
Kesimpulan
Kompromi 3CX telah mendapat banyak perhatian dari komunitas keamanan sejak pengungkapannya pada 29 Maretth. Perangkat lunak yang dikompromikan ini, yang digunakan di berbagai infrastruktur TI, yang memungkinkan pengunduhan dan eksekusi segala jenis muatan, dapat berdampak buruk. Sayangnya, tidak ada penerbit perangkat lunak yang kebal terhadap penyusupan dan secara tidak sengaja mendistribusikan versi trojan dari aplikasi mereka.
Diam-diamnya serangan rantai pasokan membuat metode pendistribusian malware ini sangat menarik dari sudut pandang penyerang. Lazarus telah digunakan teknik ini di masa lalu, menargetkan pengguna perangkat lunak WIZVERA VeraPort Korea Selatan pada tahun 2020. Kemiripan dengan malware yang ada dari perangkat Lazarus dan dengan teknik khas grup tersebut sangat menyarankan kompromi 3CX baru-baru ini adalah hasil karya Lazarus juga.
Menarik juga untuk dicatat bahwa Lazarus dapat memproduksi dan menggunakan malware untuk semua sistem operasi desktop utama: Windows, macOS, dan Linux. Sistem Windows dan macOS menjadi sasaran selama insiden 3CX, dengan perangkat lunak VoIP 3CX untuk kedua sistem operasi di-trojanisasi untuk memasukkan kode berbahaya untuk mengambil muatan sewenang-wenang. Dalam kasus 3CX, ada versi malware tahap kedua Windows dan macOS. Artikel ini menunjukkan adanya backdoor Linux yang mungkin terkait dengan malware SIMPLESEA macOS yang terlihat dalam insiden 3CX. Kami menamai komponen Linux ini SimplexTea dan menunjukkan bahwa ini adalah bagian dari Operasi DreamJob, kampanye unggulan Lazarus yang menggunakan tawaran pekerjaan untuk memikat dan membahayakan korban yang tidak menaruh curiga.
ESET Research menawarkan laporan intelijen APT pribadi dan umpan data. Untuk setiap pertanyaan tentang layanan ini, kunjungi Intelijen Ancaman ESET .
IoC
File
SHA-1 | Filename | Nama deteksi ESET | Deskripsi Produk |
---|---|---|---|
0CA1723AFE261CD85B05C9EF424FC50290DCE7DF | guiconfigd | Linux/Nukesped.E | SimplexTea untuk Linux. |
3A63477A078CE10E53DFB5639E35D74F93CEFA81 | HSBC_pekerjaan_penawaran․pdf | Linux/Nukesped.E | OdicLoader, pengunduh 64-bit untuk Linux, ditulis dalam Go. |
9D8BADE2030C93D0A010AA57B90915EB7D99EC82 | HSBC_job_offer.pdf.zip | Linux/Nukesped.E | Arsip ZIP dengan muatan Linux, dari VirusTotal. |
F6760FB1F8B019AF2304EA6410001B63A1809F1D | sysnetd | Linux/Nukesped.G | BADCALL untuk Linux. |
Pertama kali melihat | 2023-03-20 12:00:35 |
---|---|
MD5 | CEDB9CDBAD254F60CFB215B9BFF84FB9 |
SHA-1 | 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF |
SHA-256 | EEBB01932DE0B5605DD460CC82844D8693C00EA8AB5FFDF8DBEDE6528C1C18FD |
Filename | guiconfigd |
Deskripsi Produk | SimplexTea untuk Linux. |
C&C | https://journalide[.]org/djour.php |
download dari | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
Deteksi | Linux/Nukesped.E |
Stempel waktu kompilasi PE | N / A |
Pertama kali melihat | 2023-03-16 07:44:18 |
---|---|
MD5 | 3CF7232E5185109321921046D039CF10 |
SHA-1 | 3A63477A078CE10E53DFB5639E35D74F93CEFA81 |
SHA-256 | 492A643BD1EFDACA4CA125ADE1B606E7BBF00E995AC9115AC84D1C4C59CB66DD |
Filename | HSBC_pekerjaan_penawaran․pdf |
Deskripsi Produk | OdicLoader, pengunduh 64-bit untuk Linux, di Go. |
C&C | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
download dari | N / A |
Deteksi | Linux/Nukesped.E |
Stempel waktu kompilasi PE | N / A |
Pertama kali melihat | 2023-03-20 02:23:29 |
---|---|
MD5 | FC41CB8425B6432AF8403959BB59430D |
SHA-1 | 9D8BADE2030C93D0A010AA57B90915EB7D99EC82 |
SHA-256 | F638E5A20114019AD066DD0E856F97FD865798D8FBED1766662D970BEFF652CA |
Filename | HSBC_job_offer.pdf.zip |
Deskripsi Produk | Arsip ZIP dengan muatan Linux, dari VirusTotal. |
C&C | N / A |
download dari | N / A |
Deteksi | Linux/Nukesped.E |
Stempel waktu kompilasi PE | N / A |
Pertama kali melihat | 2023-02-01 23:47:05 |
---|---|
MD5 | AAC5A52B939F3FE792726A13FF7A1747 |
SHA-1 | F6760FB1F8B019AF2304EA6410001B63A1809F1D |
SHA-256 | CC307CFB401D1AE616445E78B610AB72E1C7FB49B298EA003DD26EA80372089A |
Filename | sysnetd |
Deskripsi Produk | BADCALL untuk Linux. |
C&C | tcp://23.254.211[.]230 |
download dari | N / A |
Deteksi | Linux/Nukesped.G |
Stempel waktu kompilasi PE | N / A |
jaringan
Alamat IP | Domain | Penyedia hosting | Pertama kali melihat | Rincian |
---|---|---|---|---|
23.254.211[.]230 | N / A | Hostwinds LLC. | N / A | Server C&C untuk BADCALL untuk Linux |
38.108.185[.]79 38.108.185[.]115 |
od[.]lk | Komunikasi yang meyakinkan | 2023-03-16 | Penyimpanan OpenDrive jarak jauh yang berisi SimplexTea (/d/NTJfMzg4MDE1NzJf/vxmedia) |
172.93.201[.]88 | jurnalisde[.]org | Nexeon Technologies, Inc. | 2023-03-29 | Server C&C untuk SimplexTea (/djour.php) |
Teknik ATT&CK MITER
Taktik | ID | Nama | Deskripsi Produk |
---|---|---|---|
Pengintaian | T1593.001 | Cari Buka Situs Web/Domain: Media Sosial | Penyerang Lazarus mungkin mendekati target dengan tawaran pekerjaan bertema HSBC palsu yang sesuai dengan minat target. Ini telah dilakukan sebagian besar melalui LinkedIn di masa lalu. |
Pengembangan Sumber Daya | T1584.001 | Akuisisi Infrastruktur: Domain | Tidak seperti banyak kasus C&C yang disusupi sebelumnya yang digunakan dalam Operasi DreamJob, operator Lazarus mendaftarkan domain mereka sendiri untuk target Linux. |
T1587.001 | Kembangkan Kemampuan: Malware | Alat khusus dari serangan tersebut sangat mungkin dikembangkan oleh penyerang. | |
T1585.003 | Buat Akun: Akun Cloud | Penyerang menghosting tahap akhir di layanan cloud OpenDrive. | |
T1608.001 | Kemampuan Panggung: Unggah Malware | Penyerang menghosting tahap akhir di layanan cloud OpenDrive. | |
Execution | T1204.002 | Eksekusi Pengguna: File Berbahaya | OdicLoader menyamar sebagai file PDF untuk mengelabui target. |
Akses Awal | T1566.002 | Phishing: Tautan Spearphishing | Target kemungkinan menerima tautan ke penyimpanan jarak jauh pihak ketiga dengan arsip ZIP berbahaya, yang kemudian dikirimkan ke VirusTotal. |
Ketekunan | T1546.004 | Eksekusi yang Dipicu Peristiwa: Modifikasi Konfigurasi Unix Shell | OdicLoader memodifikasi profil Bash korban, sehingga SimplexTea diluncurkan setiap kali Bash ditatap dan keluarannya dibisukan. |
Penghindaran Pertahanan | T1134.002 | Manipulasi Token Akses: Buat proses dengan token | SimplexTea dapat membuat proses baru, jika diinstruksikan oleh server C&C-nya. |
T1140 | Deobfuscate/Decode File atau Informasi | SimplexTea menyimpan konfigurasinya dalam bentuk terenkripsi apdl.cf. | |
T1027.009 | File atau Informasi yang Dikaburkan: Muatan Tertanam | Dropper dari semua rantai berbahaya berisi larik data tersemat dengan tahap tambahan. | |
T1562.003 | Hancurkan Pertahanan: Rusak Pencatatan Riwayat Perintah | OdicLoader memodifikasi profil Bash korban, sehingga keluaran dan pesan kesalahan dari SimplexTea dibisukan. SimplexTea mengeksekusi proses baru dengan teknik yang sama. | |
T1070.004 | Penghapusan Indikator: Penghapusan File | SimplexTea memiliki kemampuan untuk menghapus file dengan aman. | |
T1497.003 | Penghindaran Virtualisasi/Kotak Pasir: Penghindaran Berbasis Waktu | SimplexTea mengimplementasikan beberapa penundaan tidur khusus dalam pelaksanaannya. | |
penemuan | T1083 | Penemuan File dan Direktori | SimplexTea dapat mencantumkan konten direktori bersama dengan nama, ukuran, dan stempel waktunya (meniru ls -la memerintah). |
Komando dan Pengendalian | T1071.001 | Protokol Lapisan Aplikasi: Protokol Web | SimplexTea dapat menggunakan HTTP dan HTTPS untuk komunikasi dengan server C&C-nya, menggunakan pustaka Curl yang terhubung secara statis. |
T1573.001 | Saluran Terenkripsi: Kriptografi Simetris | SimplexTea mengenkripsi lalu lintas C&C menggunakan algoritme AES-GCM. | |
T1132.001 | Pengodean Data: Pengodean Standar | SimplexTea menyandikan lalu lintas C&C menggunakan base64. | |
T1090 | wakil | SimplexTea dapat menggunakan proxy untuk komunikasi. | |
exfiltration | T1041 | Eksfiltrasi Melalui Saluran C2 | SimplexTea dapat mengekstraksi data sebagai arsip ZIP ke server C&C-nya. |
Lampiran
Aturan YARA ini menandai klaster yang berisi IconicLoader dan IconicStealer, serta muatan yang diterapkan dalam kampanye mata uang kripto mulai Desember 2022.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
/* The following rule will only work with YARA version >= 3.11.0 */ import “pe” rule RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023 { meta: description = ” Rich Headers-based rule covering the IconicLoader and IconicStealer from the 3CX supply chain incident, and also payloads from the cryptocurrency campaigns from 2022-12″ author = “ESET Research” date = “2023-03-31” hash = “3B88CDA62CDD918B62EF5AA8C5A73A46F176D18B” hash = “CAD1120D91B812ACAFEF7175F949DD1B09C6C21A” hash = “5B03294B72C0CAA5FB20E7817002C600645EB475” hash = “7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC” condition: pe.rich_signature.toolid(259, 30818) == 9 and pe.rich_signature.toolid(256, 31329) == 1 and pe.rich_signature.toolid(261, 30818) >= 30 and pe.rich_signature.toolid(261, 30818) <= 38 and pe.rich_signature.toolid(261, 29395) >= 134 and pe.rich_signature.toolid(261, 29395) <= 164 and pe.rich_signature.toolid(257, 29395) >= 6 and pe.rich_signature.toolid(257, 29395) <= 14 } |
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Mencetak Masa Depan bersama Adryenn Ashley. Akses Di Sini.
- Sumber: https://www.welivesecurity.com/2023/04/20/linux-malware-strengthens-links-lazarus-3cx-supply-chain-attack/
- :memiliki
- :adalah
- :bukan
- $NAIK
- 000
- 000 Pelanggan
- 1
- 11
- 20
- 2014
- 2020
- 2021
- 2022
- 2023
- 39
- 7
- 8
- 9
- a
- kemampuan
- Sanggup
- Tentang Kami
- atas
- Menurut
- Akun
- Akun
- kegiatan
- aktor
- menambahkan
- Tambahan
- Aerospace
- mempengaruhi
- terhadap
- algoritma
- Semua
- memungkinkan
- di samping
- sudah
- juga
- antara
- an
- Analis
- dan
- Lain
- Apa pun
- aplikasi
- semu
- menarik
- Aplikasi
- aplikasi
- mendekat
- April
- APT
- arsip
- ADALAH
- Argentina
- susunan
- artikel
- artikel
- AS
- At
- menyerang
- Serangan
- perhatian
- Agustus
- Otentikasi
- penulis
- kembali
- pintu belakang
- backdoors
- beking
- Buruk
- berdasarkan
- menampar
- BE
- Bears
- karena
- menjadi
- sebelum
- Awal
- di belakang
- makhluk
- Percaya
- di bawah
- antara
- kedua
- Brasil
- Browser
- by
- C + +
- panggilan
- bernama
- Kampanye
- Kampanye
- CAN
- tidak bisa
- kemampuan
- kasus
- kasus
- Menyebabkan
- rantai
- rantai
- Saluran
- karakter
- sandi
- CISO
- klaim
- kelas
- klien
- awan
- Cloud Storage
- Kelompok
- kode
- diciptakan
- COM
- Umum
- Komunikasi
- komunikasi
- masyarakat
- Perusahaan
- perusahaan
- Perusahaan
- perbandingan
- Selesaikan
- kompleks
- komponen
- kompromi
- Dikompromikan
- kondisi
- dilakukan
- kepercayaan
- konfigurasi
- Memastikan
- terhubung
- koneksi
- kontak
- mengandung
- mengandung
- Konten
- menyumbang
- berkorespondensi
- menguatkan
- bisa
- negara
- tercakup
- penutup
- membuat
- dibuat
- cryptocurrency
- terbaru
- Sekarang
- adat
- pelanggan
- data
- database
- Tanggal
- Tanggal
- Hari
- mati
- Desember
- memutuskan
- Default
- Pembela
- Pertahanan
- keterlambatan
- memberikan
- menunjukkan
- menunjukkan
- dikerahkan
- penyebaran
- kedalaman
- deskripsi
- Desktop
- rinci
- Deteksi
- Menentukan
- ditentukan
- yang menghancurkan
- dikembangkan
- Pengembang
- MELAKUKAN
- berbeda
- langsung
- langsung
- penyingkapan
- ditemukan
- penemuan
- menampilkan
- mendistribusikan
- didistribusikan
- mendistribusikan
- distribusi
- dokumen
- domain
- domain
- DOT
- Download
- download
- didorong
- Menjatuhkan
- Tetes
- dijuluki
- selama
- setiap
- Awal
- tertanam
- diaktifkan
- terenkripsi
- enkripsi
- insinyur
- Teknik
- Menghibur
- Lingkungan Hidup
- kesalahan
- Riset ESET
- mapan
- Bahkan
- peristiwa
- bukti
- Laksanakan
- eksekusi
- ada
- Menjelaskan
- menjelaskan
- perpanjangan
- luar
- ekstrak
- faktor
- gadungan
- Februari
- Sudah diambil
- beberapa
- Angka
- File
- File
- terakhir
- Pertama
- cocok
- bendera
- Flagship
- diikuti
- berikut
- Untuk
- bentuk
- format
- ditemukan
- dari
- depan
- penuh
- fungsi
- Georgia
- mendapatkan
- GitHub
- diberikan
- Go
- Kelompok
- Grup
- Tamu
- hash
- Memiliki
- he
- header
- Headlines
- kesehatan
- membantu
- membantu
- menyembunyikan
- High
- Disorot
- sejarah
- keramahan
- host
- Seterpercayaapakah Olymp Trade? Kesimpulan
- Namun
- HSBC
- HTML
- http
- HTTPS
- identik
- dampak
- implementasi
- mengimplementasikan
- mengimpor
- in
- insiden
- respon insiden
- memasukkan
- Termasuk
- industri
- hina
- informasi
- Infrastruktur
- infrastruktur
- mulanya
- Pertanyaan
- diinstal
- sebagai gantinya
- Intel
- Intelijen
- bunga
- menarik
- Internasional
- ke
- menyelidiki
- investigasi
- terlibat
- IT
- NYA
- Diri
- Januari
- Pekerjaan
- JOE
- Juli
- Kaspersky
- kunci
- kunci-kunci
- Jenis
- pengetahuan
- Korea
- Terakhir
- Tahun lalu
- Terlambat
- diluncurkan
- lapisan
- Lazarus
- Grup Lazarus
- pemimpin
- pemimpin
- Tingkat
- Perpustakaan
- Mungkin
- LINK
- terkait
- link
- linux
- Daftar
- LLC
- pemuat
- pemuatan
- beban
- Panjang
- melihat
- Lot
- mesin
- Mesin
- macos
- terbuat
- utama
- MEMBUAT
- malware
- manajer
- manipulasi
- banyak
- peta
- March
- max-width
- Mungkin..
- tersebut
- pesan
- meta
- Metadata
- metode
- Microsoft
- mungkin
- Militer
- mobil
- aplikasi ponsel
- lebih
- paling
- beberapa
- misterius
- nama
- Bernama
- yaitu
- nama
- asli
- juga tidak
- jaringan
- New
- berikutnya
- utara
- terkenal jahat
- of
- menawarkan
- Penawaran
- resmi
- on
- ONE
- terus-menerus
- hanya
- Buka
- pembukaan
- operasi
- sistem operasi
- operasi
- operator
- or
- urutan
- organisasi
- asli
- Lainnya
- kami
- keluaran
- lebih
- sendiri
- PE
- halaman
- kertas
- bagian
- lalu
- perspektif
- telepon
- Film
- berencana
- Platform
- plato
- Kecerdasan Data Plato
- Data Plato
- silahkan
- disukai
- kehadiran
- sebelumnya
- sebelumnya
- Sebelumnya
- swasta
- mungkin
- proses
- proses
- menghasilkan
- Profil
- memprojeksikan
- protokol
- memberikan
- disediakan
- menyediakan
- menyediakan
- wakil
- publik
- di depan umum
- diterbitkan
- penerbit
- cepat
- agak
- menyadari
- rekap
- diterima
- baru
- baru-baru ini
- terdaftar
- terkait
- hubungan
- terpencil
- pemindahan
- melaporkan
- Dilaporkan
- laporan
- mewakili
- diwakili
- penelitian
- peneliti
- peneliti
- tanggapan
- Terungkap
- Kaya
- Peran
- Rumania
- Aturan
- Run
- berjalan
- sama
- detik
- Bagian
- Sektor
- aman
- keamanan
- Seri
- Server
- layanan
- Layanan
- set
- beberapa
- berbagi
- Kulit
- Pertunjukkan
- tertanda
- penting
- mirip
- kesamaan
- sejak
- tunggal
- Ukuran
- ukuran
- tidur
- So
- sejauh ini
- Sosial
- Rekayasa Sosial
- Perangkat lunak
- beberapa
- sesuatu
- Sony
- Selatan
- Korea Selatan
- tertentu
- Tahap
- magang
- standar
- mulai
- Negara
- Langkah
- penyimpanan
- tersimpan
- toko
- aliran
- Memperkuat
- Memperkuat
- kuat
- sangat
- studio
- Submissions
- disampaikan
- besar
- Menyarankan
- menyediakan
- supply chain
- simbol
- sintaksis
- sistem
- sistem
- tabel
- target
- ditargetkan
- penargetan
- target
- Teknis
- teknik
- Teknologi
- dari
- bahwa
- Grafik
- mereka
- Mereka
- diri
- Ini
- pihak ketiga
- ini
- ancaman
- aktor ancaman
- tiga
- Melalui
- waktu
- waktu
- ujung
- untuk
- bersama
- token
- alat
- alat
- lalu lintas
- mengobati
- dipicu
- khas
- tipografi
- unix
- Memperbarui
- diperbarui
- URL
- us
- menggunakan
- bekas
- Pengguna
- Pengguna
- Penggunaan
- Varian
- berbagai
- penjaja
- versi
- melalui
- Korban
- korban
- maya
- mesin virtual
- Mengunjungi
- vmware
- vs
- Wardle
- adalah
- Cara..
- we
- jaringan
- web browser
- Situs Web
- minggu
- BAIK
- adalah
- Apa
- apakah
- yang
- lebar
- Wikipedia
- akan
- Windows
- dengan
- Kerja
- akan
- membungkus
- tertulis
- tahun
- zephyrnet.dll
- Zip