Operation DreamJob で使用された新たに発見された Linux マルウェアとの類似点は、悪名高い北朝鮮関連グループが 3CX サプライチェーン攻撃の背後にいるという理論を裏付けています。
ESET の研究者は、Linux ユーザーをターゲットにした新しい Lazarus Operation DreamJob キャンペーンを発見しました。 Operation DreamJob は、グループがソーシャル エンジニアリング手法を使用してターゲットを侵害し、偽の求人情報をおびき寄せる一連のキャンペーンの名前です。 今回のケースでは、おとりとして偽の HSBC の求人情報を配信する ZIP ファイルから、最終的なペイロードまで、完全なチェーンを再構築することができました。SimplexTea Linux バックドアは、 OpenDrive クラウド ストレージ アカウント。 私たちの知る限りでは、これは、この作戦の一環として Linux マルウェアを使用するこの主要な北朝鮮関連の脅威アクターが公に言及された最初の事例です。
さらに、この発見により、最近の 3CX サプライ チェーン攻撃が実際に Lazarus によって行われたことを高い信頼度で確認することができました。このリンクは当初から疑われており、それ以来、複数のセキュリティ研究者によって実証されています。 このブログ投稿では、これらの調査結果を裏付け、Lazarus と 3CX サプライ チェーン攻撃との関連性に関する追加の証拠を提供します。
3CX サプライチェーン攻撃
3CX は、多くの組織に電話システム サービスを提供する国際的な VoIP ソフトウェアの開発者および販売業者です。 その Web サイトによると、3CX には、航空宇宙、ヘルスケア、ホスピタリティなどのさまざまな分野で 600,000 を超える顧客と 12,000,000 のユーザーがいます。 Web ブラウザー、モバイル アプリ、またはデスクトップ アプリケーションを介してシステムを使用するためのクライアント ソフトウェアを提供します。 2023 年 3 月下旬、Windows と macOS の両方のデスクトップ アプリケーションに、アプリケーションがインストールされているすべてのマシンで攻撃者のグループが任意のコードをダウンロードして実行できるようにする悪意のあるコードが含まれていることが発見されました。 急速に、この悪意のあるコードは 3CX 自身が追加したものではなく、3CX が侵害され、そのソフトウェアが外部の攻撃者によって引き起こされたサプライ チェーン攻撃で使用され、特定の XNUMXCX 顧客に追加のマルウェアを配布したことが判明しました。
このサイバー事件は、最近の見出しを作りました. 29月XNUMX日に最初に報告されたth、2023 年に Reddit CrowdStrike エンジニアによるスレッド、その後の公式レポート CrowdStrike、Lazarus の会社のコードネームである LABIRINTH CHOLLIMA が攻撃の背後にあったことを確信を持って述べています (ただし、主張を裏付ける証拠は省略しています)。 事件の深刻さから、複数の警備会社が事件の要約を投稿し始めました。 ソフォス, チェックポイント, ブロードコム, トレンドマイクロ、 もっと。
さらに、macOS を実行しているシステムに影響を与える攻撃の部分については、 Twitter スレッドと ブログ投稿 パトリック・ワードル著。
イベントのタイムライン
タイムラインは、加害者が実行のかなり前から攻撃を計画していたことを示しています。 早ければ 2022 年 3 月。これは、昨年末に XNUMXCX のネットワーク内にすでに足場を築いていたことを示唆しています。
トロイの木馬化された 3CX macOS アプリケーションは、14 月下旬に署名されたことを示していますが、XNUMX 月 XNUMX 日までテレメトリで不正なアプリケーションを確認できませんでした。th, 2023. macOS の悪意のある更新プログラムがその日付より前に配布されたかどうかは不明です。
ESET テレメトリは XNUMX 月には macOS の第 XNUMX 段階のペイロードの存在を示していましたが、サンプル自体も、その悪意を示唆するメタデータもありませんでした。 この情報を含めることで、システムがどれくらい前に侵害された可能性があるかを防御者が判断できるようになります。
攻撃が公開される数日前に、謎の Linux ダウンローダーが VirusTotal に提出されました。 このマルウェアは、Linux 用の新しい Lazarus 悪意のあるペイロードをダウンロードします。攻撃との関係については、本文の後半で説明します。
3CX サプライチェーン攻撃の Lazarus への帰属
すでに公開されているもの
アトリビューションの推論において重要な役割を果たしているドメインが XNUMX つあります。 ジャーナライド[.]org. 上記のリンク先のベンダー レポートの一部で言及されていますが、その存在については説明されていません。 興味深いことに、 センチネルワン および 目的を参照 このドメインについて言及しないでください。 ブログ投稿も ヴォレクシティ、帰属を提供することさえ控え、次のように述べています。 「Volexity は現在、開示された活動を脅威アクターにマッピングすることはできません」. そのアナリストは、攻撃を詳細に調査した最初の XNUMX つであり、GitHub の暗号化されたアイコンから C&C サーバーのリストを抽出するツールを作成しました。 攻撃者は C&C サーバーを中間段階に直接埋め込んでおらず、GitHub をデッド ドロップ リゾルバーとして使用していたため、このツールは便利です。 中間段階は、Windows と macOS のダウンローダであり、IconicLoader として示し、ペイロードはそれぞれ IconicStealer と UpdateAgent として取得します。
3月に30thのセキュリティ研究者、Joe Desimone 氏 弾力性のあるセキュリティは、最初に提供した企業の XNUMX つでした。 Twitter スレッド、3CX 主導の侵害がおそらく Lazarus に関連しているという実質的な手がかり。 彼は、シェルコード スタブがペイロードの先頭に追加されていることを観察しました。 d3dcompiler_47.dll これは、Lazarus に起因する AppleJeus ローダー スタブに似ています。 CISA 4月に戻って2021。
3月に31st そうだった さ 報告 3CX は、サプライ チェーン攻撃に関連するインシデント対応サービスを提供するために Mandiant を雇いました。
4月3オンrd, カスペルスキーのテレメトリを通じて、3CX サプライ チェーンの被害者と Gopuram と呼ばれるバックドアの展開との直接的な関係が明らかになりました。 ガード64.dll. Kaspersky のデータは、Gopuram が Lazarus に接続されていることを示しています。 アップルジェウス、すでに Lazarus によるものとされていたマルウェア。 Gopuram と AppleJeus の両方が、暗号通貨会社に対する攻撃で確認されました。
そして、11月XNUMX日にth、3CXのCISOはMandiantの中間調査結果をまとめました ブログ投稿. そのレポートによると、3 つの Windows マルウェア サンプル、TAXHAUL と呼ばれるシェルコード ローダーと COLDCAT と呼ばれる複雑なダウンローダーが XNUMXCX の侵害に関与していました。 ハッシュは提供されませんでしたが、TAXHAUL という名前の Mandiant の YARA ルールは、VirusTotal に既に存在する他のサンプルでもトリガーされます。
- SHA-1: 2ACC6F1D4656978F4D503929B8C804530D7E7CF6 (ウアラピ.dll),
- SHA-1: DCEF83D8EE080B54DC54759C59F955E73D67AA65 (wlbsctrl.dll)
これらのサンプルのファイル名は、MD5 ではなく、Kaspersky のブログ投稿のものと一致しています。 ただし、3CX は、COLDCAT が Gopuram とは異なることを明示的に述べています。
次のセクションでは、最近分析した悪意のある新しい Lazarus Linux ペイロードの技術的な説明と、それが Lazarus と 3CX 侵害の間の既存のリンクを強化するのにどのように役立ったかについて説明します。
Linux ペイロードを使用した操作 DreamJob
Lazarus グループの Operation DreamJob には、LinkedIn を通じてターゲットにアプローチし、業界のリーダーからの求人でターゲットを誘惑することが含まれます。 この名前は、ClearSky によって造られました。 紙 その論文は、防衛および航空宇宙企業を標的とした Lazarus のサイバースパイ活動について説明しています。 この活動は、私たちがオペレーション イン(ター)セプションと呼んでいるものと重なっています。 September 2019. 航空宇宙、軍事、防衛関連の企業を標的とし、最初は Windows 専用の特定の悪意のあるツールを使用します。 2022 年 XNUMX 月から XNUMX 月にかけて、macOS を標的とする Operation In(ter)ception の XNUMX つのインスタンスが見つかりました。 XNUMX つのマルウェア サンプルが VirusTotalの ブラジルから、別の攻撃がアルゼンチンの ESET ユーザーを標的にしました。 数週間前、HSBC をテーマにした PDF ルアーを含むネイティブの Linux ペイロードが VirusTotal で発見されました。 これにより、すべての主要なデスクトップ オペレーティング システムを対象とする Lazarus の機能が完成します。
3月に20th、ジョージアの国のユーザーが VirusTotal に送信した ZIP アーカイブと呼ばれる HSBC 求人情報.pdf.zip. Lazarus による他の DreamJob キャンペーンを考えると、このペイロードはおそらくスピアフィッシングまたは LinkedIn のダイレクト メッセージを通じて配布されたものです。 アーカイブには 64 つのファイルが含まれています。Go で記述され、名前が付けられたネイティブ XNUMX ビット Intel Linux バイナリです。 HSBCの求人情報․pdf.
興味深いことに、ファイル拡張子は PDFファイル. これは、ファイル名の見かけのドット文字が リーダードット U+2024 Unicode 文字で表されます。 ファイル名にリーダー ドットを使用したのは、おそらくファイル マネージャーを騙して、ファイルを PDF ではなく実行可能ファイルとして扱わせるためでした。 これにより、PDF ビューアーでファイルを開く代わりに、ダブルクリックしたときにファイルが実行される可能性があります。 実行時に、おとり PDF がユーザーに表示されます。 xdg-openこれにより、ユーザーの好みの PDF ビューアーを使用してドキュメントが開きます (図 3 を参照)。 この ELF ダウンローダを OdicLoader と呼ぶことにしました。これは、他のプラットフォームの IconicLoader と同様の役割を持ち、ペイロードが OpenDrive から取得されるためです。
OdicLoader は、おとりの PDF ドキュメントを投下し、システムのデフォルトの PDF ビューア (図 2 を参照) を使用して表示し、次に第 XNUMX 段階のバックドアを Web サイトからダウンロードします。 OpenDrive クラウドサービス。 ダウンロードしたファイルは次の場所に保存されます ~/.config/guiconfigd (SHA-1: 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF)。 この第 XNUMX 段階のバックドアを SimplexTea と呼びます。
実行の最後のステップとして、OdicLoader は 〜/ .bash_profile、そのため、SimplexTea は Bash で起動され、その出力はミュートされます (~/.config/guiconfigd >/dev/null 2>&1).
SimplexTea は、C++ で記述された Linux バックドアです。 表 1 で強調されているように、そのクラス名は、サンプルで見つかった関数名と非常によく似ています。 sysnetd、ルーマニアから VirusTotal に提出 (SHA-1: F6760FB1F8B019AF2304EA6410001B63A1809F1D)。 SimplexTea と sysnetd、SimplexTea は C から C++ に書き直された更新バージョンであると考えています。
表 1. VirusTotal に提出された XNUMX つの Linux バックドアの元のシンボル名の比較
guiconfigd |
sysnetd |
Cメッセージコマンド::開始(無効) | MSG_Cmd |
Cメッセージセキュアーの::開始(無効) | MSG_Del |
Cメッセージディレクトリ::開始(無効) | MSG_Dir |
Cメッセージダウン::開始(無効) | MSG_ダウン |
Cメッセージ終了::開始(無効) | MSG_終了 |
CMsgReadConfig::開始(無効) | MSG_ReadConfig |
Cメッセージラン::開始(無効) | MSG_Run |
Cメッセージ セット パス::開始(無効) | MSG_SetPath |
Cメッセージスリープ::開始(無効) | MSG_スリープ |
Cメッセージテスト::開始(無効) | MSG_テスト |
Cメッセージアップ::開始(無効) | MSG_アップ |
CMsgWriteConfig::開始(無効) | MSG_WriteConfig |
MSG_GetComInfo | |
CMsgHibernate::Start(void) | |
CMsgKeepCon::Start(void) | |
CMsgZipDown::Start(void) | |
CMsgZip::StartZip(void *) | |
CMsgZip::Start(void) | |
CHttpWrapper::RecvData(uchar *&,uint *,uint,signed char) | |
受信メッセージ | |
CHttpWrapper::送信メッセージ(_MSG_STRUCT *) | 送信メッセージ |
CHttpWrapper::SendData(uchar *,uint,uint) | |
CHttpWrapper::SendMsg(uint,uint,uchar *,uint,uint) | |
CHttpWrapper::SendLoginData(uchar *,uint,uchar *&,uint *) |
どのように sysnetd ラザロ関連? 次のセクションでは、BADCALL と呼ばれる Lazarus の Windows バックドアとの類似点を示します。
Linux用BADCALL
私たちは帰属します sysnetd 次の XNUMX つのファイルと類似しているため、Lazarus に sysnetd は、BADCALL と呼ばれるグループの Windows 用バックドアの Linux 版です):
- P2P_DLL.dll (SHA-1: 65122E5129FC74D6B5EBAFCC3376ABAE0145BC14)、コードの類似性を示しています sysnetd 偽の TLS 接続の前線として使用されるドメインの形式で (図 4 を参照)。 それは CISA によってラザロに帰せられた. 12月5日。 から September 2019、CISA はこのマルウェアの新しいバージョンを BADCALL (SHA-1: D288766FA268BC2534F85FD06A5D52264E646C47).
- プリツプール (SHA-1: 58B0516D28BD7218B1908FB266B8FE7582E22A5F)、コードの類似性を示しています sysnetd (図 5 を参照)。 それはラザロに帰せられた CISA また、2021CX インシデント対応中に発見された macOS バックドアである SIMPLESEA が実装していることにも注意してください。 A5 / 1 ストリーム暗号。
この Linux バージョンの BADCALL バックドアは、 sysnetd、という名前のファイルから構成をロードします /tmp/vgauthsvclog. Lazarus オペレータは以前にペイロードを偽装していたため、VMware ゲスト認証サービスで使用されるこの名前の使用は、標的のシステムが Linux VMware 仮想マシンである可能性があることを示唆しています。 興味深いことに、この場合の XOR キーは、3CX 調査の SIMPLESEA で使用されたものと同じです。
32 つの XNUMX ビット整数を見ると、 0xC2B45678, 0x90ABCDEF, 0xFE268455 A5/5 暗号のカスタム実装の鍵を表す図 1 から、同じアルゴリズムと同一の鍵が 2014 年末にさかのぼる Windows マルウェアで使用されていたことに気付きました。悪名高い Lazarus 事件: ソニー ピクチャーズ エンタテインメント (SHA-1: 1C66E67A8531E3FF1C64AE57E6EDFDE7BEF2352D).
追加の属性データ ポイント
これまでの説明を要約すると、3CX サプライ チェーン攻撃は Lazarus グループによるものであると確信しています。 これは、次の要因に基づいています。
- マルウェア (侵入セット):
- IconicLoader (サムクリ.dll) は同じタイプの強力な暗号化 – AES-GCM – を SimplexTea (Linux の BALLCALL との類似性によって Lazarus への帰属が確立された) と使用します。 キーと初期化ベクトルのみが異なります。
- PE リッチ ヘッダーに基づいて、両方の IconicLoader (サムクリ.dll) および IconicStealer (sechost.dll) は、同様のサイズのプロジェクトであり、実行可能ファイルと同じ Visual Studio 環境でコンパイルされます。 iertutil.dll (SHA-1: 5B03294B72C0CAA5FB20E7817002C600645EB475)と iertutil.dll (SHA-1: 7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC) による Lazarus 暗号通貨キャンペーンで報告されました。 ヴォレクシティ および Microsoft. YARAルールの下に含めます RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023現在の ESET データベースと最近の VirusTotal 提出物でテストされたように、これらすべてのサンプルにフラグが付けられ、無関係な悪意のあるファイルやクリーンなファイルにはフラグが付けられません。
- SimplexTea ペイロードは、3CX 公式インシデント対応からの SIMPLESEA マルウェアと非常によく似た方法で構成をロードします。 XOR キーが異なります (0x5E 対 0x7E)、ただし、構成には同じ名前が付いています。 apdl.cf (図8を参照)。
- インフラ:
- SimplexTea が使用する共有ネットワーク インフラストラクチャがあります。 https://journalide[.]org/djour.php それは C&C であり、そのドメインは 公式結果 Mandiant による 3CX 侵害のインシデント対応の概要。
まとめ
3CX の侵害は、29 月 XNUMX 日に公開されて以来、セキュリティ コミュニティから多くの注目を集めています。th. この侵害されたソフトウェアは、さまざまな IT インフラストラクチャに展開され、あらゆる種類のペイロードのダウンロードと実行を可能にし、壊滅的な影響を与える可能性があります。 残念ながら、侵害されたり、アプリケーションのトロイの木馬化されたバージョンを不注意に配布したりすることを免れるソフトウェア発行者はありません。
サプライ チェーン攻撃のステルス性により、マルウェアを配布するこの方法は、攻撃者の観点から非常に魅力的です。 ラザロはすでに使用しています この技術 過去には、2020 年に WIZVERA VeraPort ソフトウェアの韓国ユーザーを標的にしていました。Lazarus ツールセットの既存のマルウェアとグループの典型的な手法との類似点は、最近の 3CX 侵害も Lazarus の仕業であることを強く示唆しています。
また、Lazarus がすべての主要なデスクトップ オペレーティング システム (Windows、macOS、Linux) 向けのマルウェアを作成して使用できることも興味深い点です。 Windows と macOS システムの両方が 3CX インシデントの標的となり、両方のオペレーティング システム用の 3CX の VoIP ソフトウェアがトロイの木馬化され、任意のペイロードを取得する悪意のあるコードが組み込まれました。 3CX の場合、Windows と macOS の両方の第 3 段階のマルウェア バージョンが存在します。 この記事は、おそらく XNUMXCX インシデントで確認された SIMPLESEA macOS マルウェアに対応する Linux バックドアの存在を示しています。 私たちは、この Linux コンポーネントを SimplexTea と名付け、それが Operation DreamJob の一部であることを示しました。これは、Lazarus の主力キャンペーンであり、疑いを持たない犠牲者をおびき寄せて危険にさらすために求人情報を利用しています。
ESET Research は、非公開の APT インテリジェンス レポートとデータ フィードを提供します。 本サービスに関するお問い合わせは、 ESET脅威インテリジェンス ページで見やすくするために変数を解析したりすることができます。
IoC
SHA-1 | ファイル名 | ESET検出名 | Description |
---|---|---|---|
0CA1723AFE261CD85B05C9EF424FC50290DCE7DF | guiconfigd | Linux/NukeSped.E | Linux 用の SimplexTea。 |
3A63477A078CE10E53DFB5639E35D74F93CEFA81 | HSBC_求人_pdf | Linux/NukeSped.E | Linux 用の 64 ビット ダウンローダーである OdicLoader は、Go で記述されています。 |
9D8BADE2030C93D0A010AA57B90915EB7D99EC82 | HSBC_job_offer.pdf.zip | Linux/NukeSped.E | VirusTotal の Linux ペイロードを含む ZIP アーカイブ。 |
F6760FB1F8B019AF2304EA6410001B63A1809F1D | sysnetd | Linux/NukeSped.G | Linux 用の BADCALL。 |
最初に見た | 2023-03-20 12:00:35 |
---|---|
MD5 | CEDB9CDBAD254F60CFB215B9BFF84FB9 |
SHA-1 | 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF |
SHA-256 | EEBB01932DE0B5605DD460CC82844D8693C00EA8AB5FFDF8DBEDE6528C1C18FD |
ファイル名 | guiconfigd |
Description | Linux 用の SimplexTea。 |
C&C | https://journalide[.]org/djour.php |
からダウンロード | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
検出 | Linux/NukeSped.E |
PE コンパイルのタイムスタンプ | 無し |
最初に見た | 2023-03-16 07:44:18 |
---|---|
MD5 | 3CF7232E5185109321921046D039CF10 |
SHA-1 | 3A63477A078CE10E53DFB5639E35D74F93CEFA81 |
SHA-256 | 492A643BD1EFDACA4CA125ADE1B606E7BBF00E995AC9115AC84D1C4C59CB66DD |
ファイル名 | HSBC_求人_pdf |
Description | Go の Linux 用 64 ビット ダウンローダーである OdicLoader。 |
C&C | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
からダウンロード | 無し |
検出 | Linux/NukeSped.E |
PE コンパイルのタイムスタンプ | 無し |
最初に見た | 2023-03-20 02:23:29 |
---|---|
MD5 | FC41CB8425B6432AF8403959BB59430D |
SHA-1 | 9D8BADE2030C93D0A010AA57B90915EB7D99EC82 |
SHA-256 | F638E5A20114019AD066DD0E856F97FD865798D8FBED1766662D970BEFF652CA |
ファイル名 | HSBC_job_offer.pdf.zip |
Description | VirusTotal の Linux ペイロードを含む ZIP アーカイブ。 |
C&C | 無し |
からダウンロード | 無し |
検出 | Linux/NukeSped.E |
PE コンパイルのタイムスタンプ | 無し |
最初に見た | 2023-02-01 23:47:05 |
---|---|
MD5 | AAC5A52B939F3FE792726A13FF7A1747 |
SHA-1 | F6760FB1F8B019AF2304EA6410001B63A1809F1D |
SHA-256 | CC307CFB401D1AE616445E78B610AB72E1C7FB49B298EA003DD26EA80372089A |
ファイル名 | sysnetd |
Description | Linux 用の BADCALL。 |
C&C | tcp://23.254.211[.]230 |
からダウンロード | 無し |
検出 | Linux/NukeSped.G |
PE コンパイルのタイムスタンプ | 無し |
ネットワーク
IPアドレス | ドメイン | ホスティングプロバイダー | 最初に見た | 詳細 |
---|---|---|---|---|
23.254.211[。]230 | 無し | ホストウィンズ LLC. | 無し | Linux用BADCALLのC&Cサーバー |
38.108.185[。]79 38.108.185[。]115 |
od[.]lk | コジェントコミュニケーションズ | 2023-03-16 | SimplexTea を含むリモート OpenDrive ストレージ (/d/NTJfMzg4MDE1NzJf/vxmedia) |
172.93.201[。]88 | ジャーナライド[.]org | ネクセオン テクノロジーズ株式会社 | 2023-03-29 | SimplexTea の C&C サーバー (/djour.php) |
MITER ATT&CKテクニック
戦術 | ID | 名前 | Description |
---|---|---|---|
偵察 | T1593.001 | 開いている Web サイト/ドメインの検索: ソーシャル メディア | Lazarus の攻撃者は、標的の興味に合う偽の HSBC をテーマにした求人情報を提示して標的に接近した可能性があります。 これは、これまで主に LinkedIn を介して行われてきました。 |
リソース開発 | T1584.001 | インフラストラクチャの取得:ドメイン | Operation DreamJob で使用された C&C が侵害されたこれまでの多くのケースとは異なり、Lazarus のオペレーターは Linux ターゲット用に独自のドメインを登録しました。 |
T1587.001 | 機能の開発:マルウェア | 攻撃からのカスタム ツールは、攻撃者によって開発された可能性が非常に高いです。 | |
T1585.003 | アカウントの確立: クラウド アカウント | 攻撃者は、クラウド サービス OpenDrive で最終段階をホストしました。 | |
T1608.001 | ステージ機能:マルウェアのアップロード | 攻撃者は、クラウド サービス OpenDrive で最終段階をホストしました。 | |
実行 | T1204.002 | ユーザーの実行:悪意のあるファイル | OdicLoader は、ターゲットを欺くために PDF ファイルになりすます。 |
初期アクセス | T1566.002 | フィッシング: スピアフィッシング リンク | ターゲットは、悪意のある ZIP アーカイブを含むサードパーティのリモート ストレージへのリンクを受け取った可能性が高く、これは後で VirusTotal に送信されました。 |
固執 | T1546.004 | イベント トリガーによる実行: Unix シェル構成の変更 | OdicLoader は被害者の Bash プロファイルを変更するため、Bash が起動されるたびに SimplexTea が起動され、その出力がミュートされます。 |
防衛回避 | T1134.002 | アクセストークンの操作:トークンを使用してプロセスを作成する | C&C サーバーから指示があれば、SimplexTea は新しいプロセスを作成できます。 |
T1140 | ファイルまたは情報の難読化/デコード | SimplexTea はその構成を暗号化された apdl.cf. | |
T1027.009 | 難読化されたファイルまたは情報: 埋め込まれたペイロード | すべての悪意のあるチェーンのドロッパーには、追加のステージを持つ埋め込みデータ配列が含まれています。 | |
T1562.003 | 防御を損なう: コマンド履歴ログを損なう | OdicLoader は被害者の Bash プロファイルを変更するため、SimplexTea からの出力とエラー メッセージはミュートされます。 SimplexTea は、同じ手法で新しいプロセスを実行します。 | |
T1070.004 | インジケータの削除: ファイルの削除 | SimplexTea には、ファイルを安全に削除する機能があります。 | |
T1497.003 | 仮想化/サンドボックス回避: 時間ベースの回避 | SimplexTea は、実行時に複数のカスタム スリープ遅延を実装します。 | |
Discovery | T1083 | ファイルとディレクトリの検出 | SimplexTea は、ディレクトリの内容を名前、サイズ、タイムスタンプとともに一覧表示できます ( ls -la コマンド)。 |
コマンドおよび制御 | T1071.001 | アプリケーション層プロトコル:Webプロトコル | SimplexTea は、静的にリンクされた Curl ライブラリを使用して、C&C サーバーとの通信に HTTP および HTTPS を使用できます。 |
T1573.001 | 暗号化されたチャネル:対称暗号化 | SimplexTea は、AES-GCM アルゴリズムを使用して C&C トラフィックを暗号化します。 | |
T1132.001 | データエンコーディング:標準エンコーディング | SimplexTea は、base64 を使用して C&C トラフィックをエンコードします。 | |
T1090 | プロキシ | SimplexTea は、通信にプロキシを利用できます。 | |
exfiltration | T1041 | C2チャネルを介した浸透 | SimplexTea は、データを ZIP アーカイブとして C&C サーバーに盗み出すことができます。 |
付録
この YARA ルールは、IconicLoader と IconicStealer の両方を含むクラスター、および 2022 年 XNUMX 月からの暗号通貨キャンペーンで展開されたペイロードにフラグを立てます。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
/* The following rule will only work with YARA version >= 3.11.0 */ import “pe” rule RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023 { meta: description = ” Rich Headers-based rule covering the IconicLoader and IconicStealer from the 3CX supply chain incident, and also payloads from the cryptocurrency campaigns from 2022-12″ author = “ESET Research” date = “2023-03-31” hash = “3B88CDA62CDD918B62EF5AA8C5A73A46F176D18B” hash = “CAD1120D91B812ACAFEF7175F949DD1B09C6C21A” hash = “5B03294B72C0CAA5FB20E7817002C600645EB475” hash = “7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC” condition: pe.rich_signature.toolid(259, 30818) == 9 and pe.rich_signature.toolid(256, 31329) == 1 and pe.rich_signature.toolid(261, 30818) >= 30 and pe.rich_signature.toolid(261, 30818) <= 38 and pe.rich_signature.toolid(261, 29395) >= 134 and pe.rich_signature.toolid(261, 29395) <= 164 and pe.rich_signature.toolid(257, 29395) >= 6 and pe.rich_signature.toolid(257, 29395) <= 14 } |
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 未来を鋳造する w エイドリエン・アシュリー。 こちらからアクセスしてください。
- 情報源: https://www.welivesecurity.com/2023/04/20/linux-malware-strengthens-links-lazarus-3cx-supply-chain-attack/
- :持っている
- :は
- :not
- $UP
- 000
- 000のお客様
- 1
- 11
- 20
- 2014
- 2020
- 2021
- 2022
- 2023
- 39
- 7
- 8
- 9
- a
- 能力
- できる
- 私たちについて
- 上記の.
- 従った
- アカウント
- アクティビティ
- 俳優
- 追加されました
- NEW
- 航空宇宙
- 影響
- に対して
- アルゴリズム
- すべて
- ことができます
- 並んで
- 既に
- また
- 間で
- an
- アナリスト
- および
- 別の
- どれか
- アプリ
- 見かけ上
- 訴える
- 申し込み
- 接近する
- 4月
- APT
- Archive
- です
- アルゼンチン
- 配列
- 記事
- 物品
- AS
- At
- 攻撃
- 攻撃
- 注意
- 8月
- 認証
- 著者
- バック
- 裏口
- バックドア
- バッキング
- 悪い
- ベース
- bash
- BE
- ベアーズ
- なぜなら
- き
- 開始
- 背後に
- さ
- 信じる
- 以下
- の間に
- 両言語で
- ブラジル
- ブラウザ
- by
- C + +
- コール
- 呼ばれます
- キャンペーン
- キャンペーン
- 缶
- 機能
- 場合
- 例
- 原因となる
- チェーン
- チェーン
- チャネル
- 文字
- 暗号
- CISO
- クレーム
- class
- クライアント
- クラウド
- クラスタ
- コード
- 造られた
- COM
- コマンドと
- コミュニケーション
- 通信部
- コミュニティ
- 企業
- 会社
- 会社の
- 比較
- 完了
- 複雑な
- コンポーネント
- 妥協
- 損害を受けた
- 条件
- 実施
- 信頼
- 確認します
- 交流
- 接続
- 接触
- 含む
- 含まれています
- コンテンツ
- 貢献する
- 対応する
- 確証する
- 可能性
- 国
- カバー
- カバーする
- 作ります
- 作成した
- cryptocurrency
- 電流プローブ
- 現在
- カスタム
- Customers
- データ
- データベースを追加しました
- 日付
- 試合日
- 日
- 死んだ
- 12月
- 決定しました
- デフォルト
- ディフェンダー
- 防衛
- 遅延
- 提供します
- 実証
- 実証
- 展開
- 展開
- 深さ
- 説明
- デスクトップ
- 詳細
- 検出
- 決定する
- 決定
- 壊滅的な
- 発展した
- Developer
- DID
- 異なる
- 直接
- 直接に
- 開示
- 発見
- 発見
- ディスプレイ
- 分配します
- 配布
- 配布する
- ディストリビューション
- ドキュメント
- ドメイン
- ドメイン
- DOT
- ダウンロード
- ダウンロード
- ドリブン
- Drop
- ドロップス
- ダビングされた
- 間に
- 各
- 早い
- 埋め込まれた
- 使用可能
- では使用できません
- 暗号化
- エンジニア
- エンジニアリング
- エンターテインメント
- 環境
- エラー
- ESETリサーチ
- 設立
- さらに
- イベント
- 証拠
- 実行する
- 実行
- 既存の
- 説明する
- 説明
- 外部
- エキス
- 要因
- 偽
- 2月
- フェッチ
- 少数の
- フィギュア
- File
- ファイナル
- 名
- フィット
- フラグ
- 旗艦
- 続いて
- フォロー中
- フォーム
- 形式でアーカイブしたプロジェクトを保存します.
- 発見
- から
- フロント
- フル
- function
- 取得する
- GitHubの
- 与えられた
- Go
- グループ
- グループの
- ゲスト
- ハッシュ
- 持ってる
- he
- ヘッダーの
- ヘッドライン
- ヘルスケア
- 助けます
- 助けました
- 隠す
- ハイ
- 強調表示された
- history
- ホスピタリティー
- 主催
- 認定条件
- しかしながら
- HSBC
- HTML
- HTTP
- HTTPS
- 同一の
- 影響
- 実装
- 実装する
- import
- in
- 事件
- インシデント対応
- include
- 含めて
- 産業を変えます
- 悪名高いです
- 情報
- インフラ
- インフラ
- 当初
- お問い合わせ
- インストール
- を取得する必要がある者
- インテル
- インテリジェンス
- 関心
- 興味深い
- 世界全体
- に
- 調べる
- 調査
- 関係する
- IT
- ITS
- 自体
- 1月
- ジョブ
- JOE
- 7月
- カスペルスキー
- キー
- キー
- 種類
- 知識
- 韓国語
- 姓
- 昨年
- 遅く
- 打ち上げ
- 層
- ラザロ
- ラザログループ
- リーダー
- リーダー
- レベル
- 図書館
- 可能性が高い
- LINK
- リンク
- リンク
- linuxの
- リスト
- LLC
- ローダ
- ローディング
- 負荷
- 長い
- 見て
- たくさん
- 機械
- マシン
- MacOSの
- 製
- 主要な
- 作る
- マルウェア
- マネージャー
- 操作
- 多くの
- 地図
- 3月
- 最大幅
- 五月..
- 言及した
- メッセージ
- Meta
- 方法
- Microsoft
- かもしれない
- ミリタリー用(軍用)機材
- モバイル
- モバイルアプリ
- 他には?
- 最も
- の試合に
- 神秘的な
- 名
- 名前付き
- すなわち
- 名
- ネイティブ
- どちらでもありません
- ネットワーク
- 新作
- 次の
- ノース
- 悪名高いです
- of
- 提供
- オファー
- 公式
- on
- ONE
- 継続
- の
- 開いた
- 開設
- オペレーティング
- OS
- 操作
- 演算子
- or
- 注文
- 組織
- オリジナル
- その他
- 私たちの
- 出力
- が
- 自分の
- P&E
- ページ
- 紙素材
- 部
- 過去
- 視点
- 電話
- ピクチャー
- 計画されました
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- お願いします
- 優先
- プレゼンス
- 前
- 前に
- 事前の
- プライベート
- 多分
- プロセス
- ラボレーション
- 作り出す
- プロフィール
- プロジェクト(実績作品)
- 提供します
- 提供
- は、大阪で
- 提供
- 代理
- 公共
- 公然と
- 公表
- 出版社
- 急速に
- むしろ
- 実現
- 再生タイヤ
- 受け
- 最近
- 最近
- 登録された
- 関連する
- 関係
- リモート
- 除去
- レポート
- 報告
- レポート
- 表す
- で表さ
- 研究
- 研究者
- 研究者
- 応答
- 明らかに
- 富裕層
- 職種
- ルーマニア
- ルール
- ラン
- ランニング
- 同じ
- 秒
- セクション
- セクター
- しっかりと
- セキュリティ
- シリーズ
- サーバー
- サービス
- サービス
- セッションに
- いくつかの
- shared
- シェル(Shell)
- 作品
- 署名されました
- 重要
- 同様の
- 類似
- から
- サイズ
- サイズ
- 眠る
- So
- これまでのところ
- 社会
- ソーシャルエンジニアリング
- ソフトウェア
- 一部
- 何か
- Sony
- サウス
- 南朝鮮
- 特定の
- ステージ
- ステージ
- 標準
- 開始
- 米国
- 手順
- ストレージ利用料
- 保存され
- 店舗
- 流れ
- 強化する
- 強化する
- 強い
- 強く
- 研究
- 提出
- 提出された
- かなりの
- 提案する
- 供給
- サプライチェーン
- シンボル
- 構文
- システム
- テーブル
- ターゲット
- 対象となります
- ターゲット
- ターゲット
- 技術的
- テクニック
- テクノロジー
- より
- それ
- アプリ環境に合わせて
- それら
- 自分自身
- ボーマン
- サードパーティ
- この
- 脅威
- 脅威アクター
- 三
- 介して
- 時間
- タイムライン
- 先端
- 〜へ
- 一緒に
- トークン
- ツール
- 豊富なツール群
- トラフィック
- 治療
- トリガ
- 典型的な
- タイポグラフィ
- UNIX
- アップデイト
- 更新しました
- URL
- us
- つかいます
- 中古
- ユーザー
- users
- 活用する
- バリアント
- さまざまな
- ベンダー
- バージョン
- 、
- 被害者
- 犠牲者
- バーチャル
- バーチャルマシン
- 訪問
- ヴイエムウェア
- vs
- ワードル
- ました
- 仕方..
- we
- ウェブ
- ウェブブラウザ
- ウェブサイト
- ウィークス
- WELL
- した
- この試験は
- かどうか
- which
- ワイド
- Wikipedia
- 意志
- ウィンドウズ
- 仕事
- でしょう
- ラップ
- 書かれた
- 年
- ゼファーネット
- 〒