Le somiglianze con il malware Linux recentemente scoperto utilizzato nell'operazione DreamJob confermano la teoria secondo cui il famigerato gruppo allineato alla Corea del Nord è dietro l'attacco alla catena di approvvigionamento 3CX
I ricercatori ESET hanno scoperto una nuova campagna Lazarus Operation DreamJob destinata agli utenti Linux. Operazione DreamJob è il nome di una serie di campagne in cui il gruppo utilizza tecniche di ingegneria sociale per compromettere i suoi obiettivi, con false offerte di lavoro come esca. In questo caso, siamo riusciti a ricostruire l'intera catena, dal file ZIP che recapita come esca una falsa offerta di lavoro HSBC, fino al payload finale: la backdoor SimplexTea Linux distribuita attraverso un OpenDrive account di archiviazione cloud. A nostra conoscenza, questa è la prima menzione pubblica di questo importante attore minaccia allineato alla Corea del Nord che utilizza malware Linux come parte di questa operazione.
Inoltre, questa scoperta ci ha aiutato a confermare con un alto livello di sicurezza che il recente attacco alla catena di approvvigionamento 3CX è stato effettivamente condotto da Lazarus, un collegamento sospettato fin dall'inizio e dimostrato da allora da diversi ricercatori di sicurezza. In questo post sul blog, confermiamo questi risultati e forniamo ulteriori prove sulla connessione tra Lazarus e l'attacco alla catena di approvvigionamento 3CX.
L'attacco alla catena di approvvigionamento 3CX
3CX è uno sviluppatore e distributore internazionale di software VoIP che fornisce servizi di sistemi telefonici a molte organizzazioni. Secondo il suo sito Web, 3CX ha più di 600,000 clienti e 12,000,000 di utenti in vari settori tra cui aerospaziale, sanità e ospitalità. Fornisce software client per utilizzare i suoi sistemi tramite un browser Web, un'app mobile o un'applicazione desktop. Alla fine di marzo 2023, è stato scoperto che l'applicazione desktop per Windows e macOS conteneva codice dannoso che consentiva a un gruppo di aggressori di scaricare ed eseguire codice arbitrario su tutte le macchine in cui era installata l'applicazione. Rapidamente, è stato determinato che questo codice dannoso non era qualcosa aggiunto da 3CX, ma che 3CX era stato compromesso e che il suo software era stato utilizzato in un attacco alla catena di approvvigionamento guidato da attori di minacce esterne per distribuire malware aggiuntivo a specifici clienti 3CX.
Questo incidente informatico ha fatto notizia negli ultimi giorni. Inizialmente segnalato il 29 marzoth, 2023 nell'a Reddit thread di un ingegnere di CrowdStrike, seguito da un rapporto ufficiale di CrowdStrike, affermando con grande sicurezza che dietro l'attacco c'era LABIRINTH CHOLLIMA, il nome in codice della società per Lazarus (ma omettendo qualsiasi prova a sostegno dell'affermazione). A causa della gravità dell'incidente, diverse società di sicurezza hanno iniziato a contribuire con i loro riassunti degli eventi, vale a dire Sophos, Check Point, Broadcom, Trend MicroE altro ancora.
Inoltre, in a Twitter filo e a post sul blog di Patrick Wardle.
Cronologia degli eventi
La sequenza temporale mostra che gli autori avevano pianificato gli attacchi molto prima dell'esecuzione; già nel dicembre 2022. Ciò suggerisce che avevano già un punto d'appoggio all'interno della rete 3CX alla fine dell'anno scorso.
Sebbene l'applicazione macOS 3CX trojanizzata mostri che è stata firmata alla fine di gennaio, non abbiamo visto l'applicazione errata nella nostra telemetria fino al 14 febbraioth, 2023. Non è chiaro se l'aggiornamento dannoso per macOS sia stato distribuito prima di tale data.
Sebbene la telemetria ESET mostri l'esistenza del payload di seconda fase di macOS già a febbraio, non avevamo il campione stesso, né i metadati per informarci sulla sua dannosità. Includiamo queste informazioni per aiutare i difensori a determinare fino a che punto i sistemi potrebbero essere stati compromessi.
Diversi giorni prima che l'attacco venisse rivelato pubblicamente, un misterioso downloader Linux è stato inviato a VirusTotal. Scarica un nuovo payload dannoso di Lazarus per Linux e spiegheremo la sua relazione con l'attacco più avanti nel testo.
Attribuzione dell'attacco alla catena di approvvigionamento 3CX a Lazarus
Cosa è già stato pubblicato
C'è un dominio che gioca un ruolo significativo nel nostro ragionamento sull'attribuzione: journalide[.]org. È menzionato in alcuni dei rapporti dei fornitori collegati sopra, ma la sua presenza non viene mai spiegata. È interessante notare che gli articoli di Sentinella Uno ed ObiettivoVedi non menzionare questo dominio. Nemmeno un post sul blog di Volexity, che si è addirittura astenuto dal fornire attribuzione, affermando "Volexity non può attualmente mappare l'attività divulgata a nessun attore della minaccia". I suoi analisti sono stati tra i primi a indagare a fondo sull'attacco e hanno creato uno strumento per estrarre un elenco di server C&C dalle icone crittografate su GitHub. Questo strumento è utile, in quanto gli aggressori non hanno incorporato i server C&C direttamente nelle fasi intermedie, ma hanno utilizzato GitHub come risolutore dead drop. Le fasi intermedie sono i downloader per Windows e macOS che chiamiamo IconicLoaders e i payload che ottengono rispettivamente come IconicStealer e UpdateAgent.
Nel marzo 30th, Joe Desimone, un ricercatore di sicurezza di Sicurezza elastica, è stato tra i primi a fornire, in a Twitter thread, indizi sostanziali che i compromessi guidati da 3CX sono probabilmente collegati a Lazarus. Ha osservato che uno stub shellcode è stato anteposto al payload from d3dcompiler_47.dll è simile agli stub del caricatore di AppleJeus attribuiti a Lazarus da CISA di nuovo in aprile 2021.
Nel marzo 31st lo era essendo segnalati che 3CX aveva incaricato Mandiant di fornire servizi di risposta agli incidenti relativi all'attacco alla catena di approvvigionamento.
L'aprile 3rd, Kaspersky, attraverso la sua telemetria, ha mostrato una relazione diretta tra le vittime della catena di approvvigionamento 3CX e il dispiegamento di una backdoor chiamata Gopuram, entrambi con payload con un nome comune, guard64.dll. I dati di Kaspersky mostrano che Gopuram è connesso a Lazarus perché coesisteva sui computer delle vittime Mela Gesù, malware già attribuito a Lazarus. Sia Gopuram che AppleJeus sono stati osservati in attacchi contro una società di criptovalute.
Poi, l'11 aprileth, il CISO di 3CX ha riassunto i risultati intermedi di Mandiant in a post sul blog. Secondo quel rapporto, due campioni di malware di Windows, un caricatore di shellcode chiamato TAXHAUL e un downloader complesso chiamato COLDCAT, sono stati coinvolti nella compromissione di 3CX. Non sono stati forniti hash, ma la regola YARA di Mandiant, denominata TAXHAUL, si attiva anche su altri campioni già presenti su VirusTotal:
- SHA-1: 2ACC6F1D4656978F4D503929B8C804530D7E7CF6 (ualap.dll),
- SHA-1: DCEF83D8EE080B54DC54759C59F955E73D67AA65 (wlbctrl.dll)
I nomi dei file, ma non gli MD5, di questi campioni coincidono con quelli del post sul blog di Kaspersky. Tuttavia, 3CX afferma esplicitamente che COLDCAT differisce da Gopuram.
La sezione successiva contiene una descrizione tecnica del nuovo payload Linux dannoso di Lazarus che abbiamo recentemente analizzato, oltre a come ci ha aiutato a rafforzare il collegamento esistente tra Lazarus e il compromesso 3CX.
Operazione DreamJob con un payload Linux
L'operazione DreamJob del gruppo Lazarus prevede l'avvicinamento agli obiettivi tramite LinkedIn e la tentazione con offerte di lavoro da parte dei leader del settore. Il nome è stato coniato da ClearSky in a carta pubblicato nell'agosto 2020. Quel documento descrive una campagna di spionaggio informatico di Lazarus che prende di mira le aziende della difesa e aerospaziali. L'attività si sovrappone a quella che chiamiamo Operazione In(ter)ception, una serie di attacchi di spionaggio informatico in corso da almeno Settembre 2019. Si rivolge ad aziende aerospaziali, militari e della difesa e utilizza specifici strumenti dannosi, inizialmente solo per Windows. Nei mesi di luglio e agosto 2022, abbiamo rilevato due casi di Operation In(ter)ception destinati a macOS. È stato inviato un campione di malware VirusTotal dal Brasile e un altro attacco ha preso di mira un utente ESET in Argentina. Qualche settimana fa, su VirusTotal è stato trovato un payload Linux nativo con un'esca PDF a tema HSBC. Ciò completa la capacità di Lazarus di indirizzare tutti i principali sistemi operativi desktop.
Nel marzo 20th, un utente nel paese della Georgia ha inviato a VirusTotal un archivio ZIP chiamato Offerta di lavoro HSBC.pdf.zip. Date altre campagne DreamJob di Lazarus, questo payload è stato probabilmente distribuito tramite spearphishing o messaggi diretti su LinkedIn. L'archivio contiene un singolo file: un binario Intel Linux nativo a 64 bit scritto in Go e denominato Offerta di lavoro HSBC․pdf.
È interessante notare che l'estensione del file non lo è .pdf. Questo perché il carattere punto apparente nel nome del file è a punto capo rappresentato dal carattere Unicode U+2024. L'uso del punto iniziale nel nome del file è stato probabilmente un tentativo di indurre il file manager a trattare il file come un eseguibile invece che come un PDF. Ciò potrebbe causare l'esecuzione del file quando si fa doppio clic invece di aprirlo con un visualizzatore PDF. All'esecuzione, un PDF esca viene visualizzato all'utente che lo utilizza xdg-open, che aprirà il documento utilizzando il visualizzatore PDF preferito dall'utente (vedere la Figura 3). Abbiamo deciso di chiamare questo downloader ELF OdicLoader, poiché ha un ruolo simile agli IconicLoaders su altre piattaforme e il payload viene recuperato da OpenDrive.
OdicLoader rilascia un documento PDF falso, lo visualizza utilizzando il visualizzatore PDF predefinito del sistema (vedere la Figura 2), quindi scarica una backdoor di seconda fase dal OpenDrive servizio cloud. Il file scaricato viene memorizzato in ~/.config/guiconfigd (SHA-1: 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF). Chiamiamo questa seconda fase backdoor SimplexTea.
Come ultimo passaggio della sua esecuzione, OdicLoader modifica ~ / .bash_profile, quindi SimplexTea viene avviato con Bash e il suo output viene disattivato (~/.config/guiconfigd >/dev/null 2>&1).
SimplexTea è una backdoor Linux scritta in C++. Come evidenziato nella Tabella 1, i suoi nomi di classe sono molto simili ai nomi di funzione trovati in un esempio, con nome file sysnetd, inviato a VirusTotal dalla Romania (SHA-1: F6760FB1F8B019AF2304EA6410001B63A1809F1D). A causa delle somiglianze nei nomi delle classi e nei nomi delle funzioni tra SimplexTea e sysnetd, riteniamo che SimplexTea sia una versione aggiornata, riscritta da C a C++.
Tabella 1. Confronto dei nomi dei simboli originali di due backdoor Linux inviate a VirusTotal
guiconfigd |
sysnetd |
CMsgCmd::Inizio(vuoto) | MSG_Cmd |
CMsgSicuroDi::Inizio(vuoto) | MSG_Canc |
CMsgDir::Inizio(vuoto) | MSG_dir |
CMsgDown::Inizio(vuoto) | MSG_Giù |
CMsgEsci::Inizio(vuoto) | MSG_Esci |
CMsgReadConfig::Inizio(vuoto) | MSG_ReadConfig |
CMsgRun::Inizio(vuoto) | MSG_Esegui |
CMsgSetPath::Inizio(vuoto) | MSG_SetPath |
CMsgSleep::Inizio(vuoto) | MSG_Dormire |
CTestMsg::Inizio(vuoto) | MSG_Test |
CMsgUp::Inizio(vuoto) | MSG_Su |
CMsgWriteConfig::Inizio(vuoto) | MSG_WriteConfig |
MSG_GetComInfo | |
CMsgHibernate::Start(void) | |
CMsgKeepCon::Start(vuoto) | |
CMsgZipDown::Start(vuoto) | |
CMsgZip::StartZip(void *) | |
CMsgZip::Start(vuoto) | |
CHttpWrapper::RecvData(uchar *&,uint *,uint,char con segno) | |
RicevMsg | |
CHttpWrapper::InviaMsg(_MSG_STRUCT *) | InviaMsg |
CHttpWrapper::SendData(uchar *,uint,uint) | |
CHttpWrapper::SendMsg(uint,uint,uchar *,uint,uint) | |
CHttpWrapper::SendLoginData(uchar *,uint,uchar *&,uint *) |
In che modo sysnetd imparentato con Lazzaro? La sezione seguente mostra le somiglianze con la backdoor Windows di Lazarus chiamata BADCALL.
BADCALL per Linux
Attribuiamo sysnetd a Lazarus per le sue somiglianze con i due file seguenti (e noi crediamo che sysnetd è una variante Linux della backdoor del gruppo per Windows chiamata BADCALL):
- P2P_DLL.dll (SHA-1: 65122E5129FC74D6B5EBAFCC3376ABAE0145BC14), che mostra somiglianze di codice con sysnetd sotto forma di domini utilizzati come copertura per false connessioni TLS (vedi Figura 4). È stato attribuito a Lazzaro da CISA in Dicembre 2017. Da parte di Settembre 2019, CISA ha iniziato a chiamare le versioni più recenti di questo malware BADCALL (SHA-1: D288766FA268BC2534F85FD06A5D52264E646C47).
- prtspool (SHA-1: 58B0516D28BD7218B1908FB266B8FE7582E22A5F), che mostra somiglianze di codice con sysnetd (vedi Figura 5). È stato attribuito a Lazarus da CISA nel febbraio 2021. Si noti inoltre che SIMPLESEA, una backdoor macOS trovata durante la risposta agli incidenti 3CX, implementa il A5 / 1 cifratura a flusso.
Questa versione Linux della backdoor BADCALL, sysnetd, carica la sua configurazione da un file denominato /tmp/vgauthsvclog. Poiché gli operatori Lazarus hanno precedentemente mascherato i loro payload, l'uso di questo nome, utilizzato dal servizio di autenticazione guest VMware, suggerisce che il sistema preso di mira potrebbe essere una macchina virtuale VMware Linux. È interessante notare che la chiave XOR in questo caso è la stessa utilizzata in SIMPLESEA dall'indagine 3CX.
Dando un'occhiata ai tre numeri interi a 32 bit, 0xC2B45678, 0x90ABCDEFe 0xFE268455 dalla Figura 5, che rappresenta una chiave per un'implementazione personalizzata del cifrario A5/1, ci siamo resi conto che lo stesso algoritmo e le stesse chiavi erano utilizzate nel malware Windows che risale alla fine del 2014 ed è stato coinvolto in uno dei più i famigerati casi Lazarus: il cybersabotaggio di Sony Pictures Entertainment (SHA-1: 1C66E67A8531E3FF1C64AE57E6EDFDE7BEF2352D).
Punti dati di attribuzione aggiuntivi
Per ricapitolare ciò che abbiamo trattato finora, attribuiamo l'attacco alla catena di approvvigionamento 3CX al gruppo Lazarus con un alto livello di fiducia. Questo si basa sui seguenti fattori:
- Malware (il set di intrusioni):
- IconicLoader (samcli.dll) utilizza lo stesso tipo di crittografia avanzata – AES-GCM – di SimplexTea (la cui attribuzione a Lazarus è stata stabilita tramite la somiglianza con BALLCALL per Linux); differiscono solo le chiavi e i vettori di inizializzazione.
- Basato su PE Rich Headers, sia IconicLoader (samcli.dll) e IconicStealer (sechost.dll) sono progetti di dimensioni simili e compilati nello stesso ambiente di Visual Studio degli eseguibili iertutil.dll (SHA-1: 5B03294B72C0CAA5FB20E7817002C600645EB475) e iertutil.dll (SHA-1: 7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC) riportato nelle campagne di criptovaluta Lazarus da Volexity ed Microsoft. Di seguito includiamo la regola YARA RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023, che contrassegna tutti questi campioni e nessun file dannoso o pulito non correlato, come testato sui database ESET correnti e sui recenti invii di VirusTotal.
- Il payload SimplexTea carica la sua configurazione in modo molto simile al malware SIMPLESEA dalla risposta ufficiale agli incidenti 3CX. La chiave XOR è diversa (0x5E vs. 0x7E), ma la configurazione ha lo stesso nome: apdl.cf (vedi Figura 8).
- Infrastrutture:
- Esiste un'infrastruttura di rete condivisa con SimplexTea, come utilizza https://journalide[.]org/djour.php come it C&C, il cui dominio è riportato nel risultati ufficiali della risposta agli incidenti del compromesso 3CX da parte di Mandiant.
Conclusione
Il compromesso 3CX ha attirato molta attenzione da parte della comunità della sicurezza sin dalla sua divulgazione il 29 marzoth. Questo software compromesso, distribuito su varie infrastrutture IT, che consente il download e l'esecuzione di qualsiasi tipo di payload, può avere impatti devastanti. Sfortunatamente, nessun editore di software è immune dall'essere compromesso e dalla distribuzione inavvertita di versioni trojanizzate delle proprie applicazioni.
La furtività di un attacco alla catena di approvvigionamento rende questo metodo di distribuzione del malware molto allettante dal punto di vista di un utente malintenzionato. Lazarus ha già usato questa tecnica in passato, prendendo di mira gli utenti sudcoreani del software WIZVERA VeraPort nel 2020. Le somiglianze con il malware esistente del set di strumenti Lazarus e con le tecniche tipiche del gruppo suggeriscono fortemente che anche il recente compromesso 3CX è opera di Lazarus.
È anche interessante notare che Lazarus può produrre e utilizzare malware per tutti i principali sistemi operativi desktop: Windows, macOS e Linux. Entrambi i sistemi Windows e macOS sono stati presi di mira durante l'incidente 3CX, con il software VoIP di 3CX per entrambi i sistemi operativi che è stato trojanizzato per includere codice dannoso per recuperare payload arbitrari. Nel caso di 3CX, esistono versioni di malware di secondo stadio sia per Windows che per macOS. Questo articolo dimostra l'esistenza di una backdoor Linux che probabilmente corrisponde al malware macOS SIMPLESEA visto nell'incidente 3CX. Abbiamo chiamato questo componente Linux SimplexTea e abbiamo dimostrato che fa parte dell'operazione DreamJob, la campagna di punta di Lazarus che utilizza offerte di lavoro per attirare e compromettere vittime ignare.
ESET Research offre report di intelligence APT privati e feed di dati. Per qualsiasi domanda su questo servizio, visitare il Intelligence sulle minacce ESET .
IOCS
File
SHA-1 | Nome del file | Nome rilevamento ESET | Descrizione |
---|---|---|---|
0CA1723AFE261CD85B05C9EF424FC50290DCE7DF | guiconfigd | Linux/NukeSped.E | Simplex Tea per Linux. |
3A63477A078CE10E53DFB5639E35D74F93CEFA81 | HSBC_offerta_di_lavoro․pdf | Linux/NukeSped.E | OdicLoader, un downloader a 64 bit per Linux, scritto in Go. |
9D8BADE2030C93D0A010AA57B90915EB7D99EC82 | HSBC_offerta_di_lavoro.pdf.zip | Linux/NukeSped.E | Un archivio ZIP con un payload Linux, da VirusTotal. |
F6760FB1F8B019AF2304EA6410001B63A1809F1D | sysnetd | Linux/NukeSped.G | BADCALL per Linux. |
Visto per la prima volta | 2023-03-20 12:00:35 |
---|---|
MD5 | CEDB9CDBAD254F60CFB215B9BFF84FB9 |
SHA-1 | 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF |
SHA-256 | EEBB01932DE0B5605DD460CC82844D8693C00EA8AB5FFDF8DBEDE6528C1C18FD |
Nome del file | guiconfigd |
Descrizione | Simplex Tea per Linux. |
C&C | https://journalide[.]org/djour.php |
Scaricato dal | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
rivelazione | Linux/NukeSped.E |
Timestamp di compilazione PE | N/A |
Visto per la prima volta | 2023-03-16 07:44:18 |
---|---|
MD5 | 3CF7232E5185109321921046D039CF10 |
SHA-1 | 3A63477A078CE10E53DFB5639E35D74F93CEFA81 |
SHA-256 | 492A643BD1EFDACA4CA125ADE1B606E7BBF00E995AC9115AC84D1C4C59CB66DD |
Nome del file | HSBC_offerta_di_lavoro․pdf |
Descrizione | OdicLoader, un downloader a 64 bit per Linux, in Go. |
C&C | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
Scaricato dal | N/A |
rivelazione | Linux/NukeSped.E |
Timestamp di compilazione PE | N/A |
Visto per la prima volta | 2023-03-20 02:23:29 |
---|---|
MD5 | FC41CB8425B6432AF8403959BB59430D |
SHA-1 | 9D8BADE2030C93D0A010AA57B90915EB7D99EC82 |
SHA-256 | F638E5A20114019AD066DD0E856F97FD865798D8FBED1766662D970BEFF652CA |
Nome del file | HSBC_offerta_di_lavoro.pdf.zip |
Descrizione | Un archivio ZIP con un payload Linux, da VirusTotal. |
C&C | N/A |
Scaricato dal | N/A |
rivelazione | Linux/NukeSped.E |
Timestamp di compilazione PE | N/A |
Visto per la prima volta | 2023-02-01 23:47:05 |
---|---|
MD5 | AAC5A52B939F3FE792726A13FF7A1747 |
SHA-1 | F6760FB1F8B019AF2304EA6410001B63A1809F1D |
SHA-256 | CC307CFB401D1AE616445E78B610AB72E1C7FB49B298EA003DD26EA80372089A |
Nome del file | sysnetd |
Descrizione | BADCALL per Linux. |
C&C | tcp://23.254.211[.]230 |
Scaricato dal | N/A |
rivelazione | Linux/NukeSped.G |
Timestamp di compilazione PE | N/A |
Network NetPoulSafe
Indirizzo IP | Dominio | Provider di hosting | Visto per la prima volta | Dettagli |
---|---|---|---|---|
23.254.211[.]230 | N/A | Hostwinds LLC. | N/A | Server C&C per BADCALL per Linux |
38.108.185[.]79 38.108.185[.]115 |
od[.]lk | Comunicazioni convincenti | 2023-03-16 | Archiviazione OpenDrive remota contenente SimplexTea (/d/NTJfMzg4MDE1NzJf/vxmedia) |
172.93.201[.]88 | journalide[.]org | Nexeon Technologies, Inc. | 2023-03-29 | Server C&C per SimplexTea (/giorno.php) |
Tecniche MITRE ATT&CK
tattica | ID | Nome | Descrizione |
---|---|---|---|
Ricognizione | T1593.001 | Cerca Siti Web/Domini aperti: Social Media | Gli aggressori di Lazarus probabilmente si sono avvicinati a un bersaglio con una falsa offerta di lavoro a tema HSBC che si adattava agli interessi del bersaglio. Questo è stato fatto principalmente tramite LinkedIn in passato. |
Sviluppo delle risorse | T1584.001 | Acquisire l'infrastruttura: domini | A differenza di molti casi precedenti di C&C compromessi utilizzati nell'operazione DreamJob, gli operatori Lazarus hanno registrato il proprio dominio per il target Linux. |
T1587.001 | Capacità di sviluppo: malware | Gli strumenti personalizzati dell'attacco sono molto probabilmente sviluppati dagli aggressori. | |
T1585.003 | Stabilire account: account cloud | Gli aggressori hanno ospitato la fase finale sul servizio cloud OpenDrive. | |
T1608.001 | Funzionalità della fase: caricare malware | Gli aggressori hanno ospitato la fase finale sul servizio cloud OpenDrive. | |
T1204.002 | Esecuzione utente: file dannoso | OdicLoader si maschera da file PDF per ingannare il bersaglio. | |
Accesso iniziale | T1566.002 | Phishing: collegamento Spearphishing | L'obiettivo probabilmente ha ricevuto un collegamento all'archiviazione remota di terze parti con un archivio ZIP dannoso, che è stato successivamente inviato a VirusTotal. |
Persistenza | T1546.004 | Esecuzione attivata da eventi: modifica della configurazione della shell Unix | OdicLoader modifica il profilo Bash della vittima, quindi SimplexTea viene lanciato ogni volta che Bash viene fissato e il suo output viene disattivato. |
Evasione della difesa | T1134.002 | Manipolazione token di accesso: crea processo con token | SimplexTea può creare un nuovo processo, se richiesto dal suo server C&C. |
T1140 | Deoffuscare/decodificare file o informazioni | SimplexTea memorizza la sua configurazione in modo crittografato apdl.cf. | |
T1027.009 | File o informazioni offuscati: payload incorporati | I contagocce di tutte le catene dannose contengono un array di dati incorporato con una fase aggiuntiva. | |
T1562.003 | Compromissione delle difese: compromissione della registrazione della cronologia dei comandi | OdicLoader modifica il profilo Bash della vittima, quindi l'output e i messaggi di errore di SimplexTea vengono disattivati. SimplexTea esegue nuovi processi con la stessa tecnica. | |
T1070.004 | Rimozione dell'indicatore: eliminazione dei file | SimplexTea ha la capacità di eliminare i file in modo sicuro. | |
T1497.003 | Virtualizzazione/evasione sandbox: evasione basata sul tempo | SimplexTea implementa più ritardi di sospensione personalizzati nella sua esecuzione. | |
Ricerca e Sviluppo | T1083 | Scoperta di file e directory | SimplexTea può elencare il contenuto della directory insieme ai loro nomi, dimensioni e timestamp (imitando il formato ls -la comando). |
Comando e controllo | T1071.001 | Protocollo del livello di applicazione: protocolli Web | SimplexTea può utilizzare HTTP e HTTPS per la comunicazione con il suo server C&C, utilizzando una libreria Curl collegata staticamente. |
T1573.001 | Canale crittografato: crittografia simmetrica | SimplexTea crittografa il traffico C&C utilizzando l'algoritmo AES-GCM. | |
T1132.001 | Codifica dati: codifica standard | SimplexTea codifica il traffico C&C utilizzando base64. | |
T1090 | delega | SimplexTea può utilizzare un proxy per le comunicazioni. | |
exfiltration | T1041 | Esfiltrazione sul canale C2 | SimplexTea può esfiltrare i dati come archivi ZIP sul suo server C&C. |
Appendice
Questa regola YARA contrassegna il cluster contenente sia IconicLoader che IconicStealer, nonché i payload distribuiti nelle campagne di criptovaluta da dicembre 2022.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
/* The following rule will only work with YARA version >= 3.11.0 */ import “pe” rule RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023 { meta: description = ” Rich Headers-based rule covering the IconicLoader and IconicStealer from the 3CX supply chain incident, and also payloads from the cryptocurrency campaigns from 2022-12″ author = “ESET Research” date = “2023-03-31” hash = “3B88CDA62CDD918B62EF5AA8C5A73A46F176D18B” hash = “CAD1120D91B812ACAFEF7175F949DD1B09C6C21A” hash = “5B03294B72C0CAA5FB20E7817002C600645EB475” hash = “7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC” condition: pe.rich_signature.toolid(259, 30818) == 9 and pe.rich_signature.toolid(256, 31329) == 1 and pe.rich_signature.toolid(261, 30818) >= 30 and pe.rich_signature.toolid(261, 30818) <= 38 and pe.rich_signature.toolid(261, 29395) >= 134 and pe.rich_signature.toolid(261, 29395) <= 164 and pe.rich_signature.toolid(257, 29395) >= 6 and pe.rich_signature.toolid(257, 29395) <= 14 } |
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Coniare il futuro con Adryenn Ashley. Accedi qui.
- Fonte: https://www.welivesecurity.com/2023/04/20/linux-malware-strengthens-links-lazarus-3cx-supply-chain-attack/
- :ha
- :È
- :non
- $ SU
- 000
- 000 clienti
- 1
- 11
- 20
- 2014
- 2020
- 2021
- 2022
- 2023
- 39
- 7
- 8
- 9
- a
- capacità
- capace
- WRI
- sopra
- Secondo
- Il mio account
- conti
- attività
- attori
- aggiunto
- aggiuntivo
- Aeronautico
- che interessano
- contro
- algoritmo
- Tutti
- consente
- a fianco di
- già
- anche
- tra
- an
- Gli analisti
- ed
- Un altro
- in qualsiasi
- App
- apparente
- attraente
- Applicazioni
- applicazioni
- si avvicina
- Aprile
- APT
- Archivio
- SONO
- Argentina
- Italia
- articolo
- news
- AS
- At
- attacco
- attacchi
- attenzione
- AGOSTO
- Autenticazione
- autore
- precedente
- porta posteriore
- Backdoor
- sostegno
- Vasca
- basato
- bash
- BE
- Bears
- perché
- stato
- prima
- Inizio
- dietro
- essendo
- CREDIAMO
- sotto
- fra
- entrambi
- Brasil
- del browser
- by
- C++
- chiamata
- detto
- Campagna
- Responsabile Campagne
- Materiale
- non può
- funzionalità
- Custodie
- casi
- Causare
- catena
- Catene
- canale
- carattere
- cifra
- CISO
- rivendicare
- classe
- cliente
- Cloud
- Cloud Storage
- Cluster
- codice
- coniato
- COM
- Uncommon
- Comunicazione
- Comunicazioni
- comunità
- Aziende
- azienda
- Società
- confronto
- Completa
- complesso
- componente
- compromesso
- Compromissione
- condizione
- condotto
- fiducia
- Configurazione
- Confermare
- collegato
- veloce
- contatti
- contenere
- contiene
- contenuto
- contribuire
- corrisponde
- corroborare
- potuto
- nazione
- coperto
- copertura
- creare
- creato
- criptovaluta
- Corrente
- Attualmente
- costume
- Clienti
- dati
- banche dati
- Data
- Date
- Giorni
- morto
- Dicembre
- deciso
- Predefinito
- Difensori
- Difesa
- ritardi
- fornisce un monitoraggio
- dimostrato
- dimostra
- schierato
- deployment
- profondità
- descrizione
- tavolo
- dettaglio
- rivelazione
- Determinare
- determinato
- devastante
- sviluppato
- Costruttori
- DID
- differire
- dirette
- direttamente
- Rivelazione
- scoperto
- scoperta
- display
- distribuire
- distribuito
- distribuzione
- distribuzione
- documento
- dominio
- domini
- DOT
- scaricare
- download
- spinto
- Cadere
- Gocce
- soprannominato
- durante
- ogni
- Presto
- incorporato
- abilitato
- crittografato
- crittografia
- ingegnere
- Ingegneria
- Intrattenimento
- Ambiente
- errore
- Ricerca ESET
- sviluppate
- Anche
- eventi
- prova
- esegue
- esecuzione
- esistente
- Spiegare
- ha spiegato
- estensione
- esterno
- estratto
- Fattori
- falso
- Febbraio
- Recuperato
- pochi
- figura
- Compila il
- File
- finale
- Nome
- in forma
- bandiere
- nave ammiraglia
- seguito
- i seguenti
- Nel
- modulo
- formato
- essere trovato
- da
- anteriore
- pieno
- function
- Georgia
- ottenere
- GitHub
- dato
- Go
- Gruppo
- Gruppo
- GUEST
- hash
- Avere
- he
- intestazioni
- Notizie
- assistenza sanitaria
- Aiuto
- aiutato
- nascondere
- Alta
- Evidenziato
- storia
- ospitalità
- ospitato
- Come
- Tuttavia
- HSBC
- HTML
- http
- HTTPS
- identico
- impatti
- implementazione
- attrezzi
- importare
- in
- incidente
- risposta agli incidenti
- includere
- Compreso
- industria
- infame
- informazioni
- Infrastruttura
- infrastruttura
- inizialmente
- Richieste
- installato
- invece
- Intel
- Intelligence
- interesse
- interessante
- Internazionale
- ai miglioramenti
- indagare
- indagine
- coinvolto
- IT
- SUO
- stessa
- Gennaio
- Lavoro
- JOE
- Luglio
- Kaspersky
- Le
- Tasti
- Genere
- conoscenze
- Coreano
- Cognome
- L'anno scorso
- In ritardo
- lanciato
- strato
- Lazarus
- Gruppo Lazzaro
- leader
- capi
- Livello
- Biblioteca
- probabile
- LINK
- connesso
- Collegamento
- linux
- Lista
- LLC
- caricatore
- Caricamento in corso
- carichi
- Lunghi
- Guarda
- lotto
- macchina
- macchine
- macos
- fatto
- maggiore
- FA
- il malware
- direttore
- Manipolazione
- molti
- carta geografica
- Marzo
- max-width
- Maggio..
- menzionato
- messaggi
- Meta
- Metadati
- metodo
- Microsoft
- forza
- Militare
- Mobile
- mobile app
- Scopri di più
- maggior parte
- multiplo
- misterioso
- Nome
- Detto
- cioè
- nomi
- nativo
- Nessuno dei due
- Rete
- New
- GENERAZIONE
- Nord
- famigerato
- of
- offrire
- Offerte
- ufficiale
- on
- ONE
- in corso
- esclusivamente
- aprire
- apertura
- operativo
- sistemi operativi
- operazione
- Operatori
- or
- minimo
- organizzazioni
- i
- Altro
- nostro
- produzione
- ancora
- proprio
- P&E
- pagina
- Carta
- parte
- passato
- prospettiva
- telefono
- Immagini
- previsto
- Piattaforme
- Platone
- Platone Data Intelligence
- PlatoneDati
- per favore
- preferito
- presenza
- precedente
- in precedenza
- Precedente
- un bagno
- probabilmente
- processi
- i processi
- produrre
- Profilo
- progetti
- protocollo
- fornire
- purché
- fornisce
- fornitura
- delega
- la percezione
- pubblicamente
- pubblicato
- editore
- rapidamente
- piuttosto
- realizzato
- ricapitolare
- ricevuto
- recente
- recentemente
- registrato
- relazionato
- rapporto
- a distanza
- rimozione
- rapporto
- Segnalati
- Report
- rappresentare
- rappresentato
- riparazioni
- ricercatore
- ricercatori
- risposta
- Rivelato
- Ricco
- Ruolo
- Romania
- Regola
- Correre
- running
- stesso
- secondo
- Sezione
- Settori
- in modo sicuro
- problemi di
- Serie
- Server
- servizio
- Servizi
- set
- alcuni
- condiviso
- Conchiglia
- Spettacoli
- firmato
- significativa
- simile
- somiglianze
- da
- singolo
- Taglia
- Dimensioni
- sonno
- So
- finora
- Social
- Ingegneria sociale
- Software
- alcuni
- qualcosa
- Sony
- Sud
- Corea del Sud
- specifico
- Stage
- tappe
- Standard
- iniziato
- stati
- step
- conservazione
- memorizzati
- negozi
- ruscello
- Rafforza
- Rafforza
- forte
- fortemente
- studio
- Articoli
- presentata
- sostanziale
- suggerisce
- fornire
- supply chain
- simbolo
- sintassi
- sistema
- SISTEMI DI TRATTAMENTO
- tavolo
- Target
- mirata
- mira
- obiettivi
- Consulenza
- tecniche
- Tecnologie
- di
- che
- Il
- loro
- Li
- si
- Strumenti Bowman per analizzare le seguenti finiture:
- di parti terze standard
- questo
- minaccia
- attori della minaccia
- tre
- Attraverso
- tempo
- time line
- tipo
- a
- insieme
- token
- strumenti
- traffico
- trattare
- innescato
- tipico
- tipografia
- unix
- Aggiornanento
- aggiornato
- URL
- us
- uso
- utilizzato
- Utente
- utenti
- utilizzare
- Variante
- vario
- venditore
- versione
- via
- Vittima
- vittime
- virtuale
- macchina virtuale
- Visita
- vmware
- vs
- Wardle
- Prima
- Modo..
- we
- sito web
- browser web
- Sito web
- Settimane
- WELL
- sono stati
- Che
- se
- quale
- largo
- wikipedia
- volere
- finestre
- con
- Lavora
- sarebbe
- avvolgere
- scritto
- anno
- zefiro
- Codice postale