Overeenkomsten met nieuw ontdekte Linux-malware gebruikt in Operatie DreamJob bevestigen de theorie dat de beruchte Noord-Koreaanse groep achter de 3CX supply chain-aanval zit
ESET-onderzoekers hebben een nieuwe Lazarus Operation DreamJob-campagne ontdekt die gericht is op Linux-gebruikers. Operatie DreamJob is de naam voor een reeks campagnes waarbij de groep social engineering-technieken gebruikt om haar doelen te compromitteren, met nepaanbiedingen als lokaas. In dit geval waren we in staat om de volledige keten te reconstrueren, van het ZIP-bestand dat een valse HSBC-baanaanbieding levert als lokaas, tot aan de uiteindelijke payload: de SimplexTea Linux-achterdeur die wordt verspreid via een OpenDrive cloudopslagaccount. Voor zover wij weten, is dit de eerste openbare vermelding van deze grote op Noord-Korea gelieerde bedreigingsactor die Linux-malware gebruikt als onderdeel van deze operatie.
Bovendien hielp deze ontdekking ons om met een hoog niveau van vertrouwen te bevestigen dat de recente 3CX-aanval op de toeleveringsketen in feite was uitgevoerd door Lazarus - een link die vanaf het begin werd vermoed en sindsdien door verschillende beveiligingsonderzoekers is aangetoond. In deze blogpost bevestigen we deze bevindingen en leveren we aanvullend bewijs over het verband tussen Lazarus en de 3CX supply chain-aanval.
De 3CX supply chain-aanval
3CX is een internationale VoIP-softwareontwikkelaar en -distributeur die telefoonsysteemdiensten levert aan veel organisaties. Volgens de website heeft 3CX meer dan 600,000 klanten en 12,000,000 gebruikers in verschillende sectoren, waaronder ruimtevaart, gezondheidszorg en horeca. Het biedt clientsoftware om zijn systemen te gebruiken via een webbrowser, mobiele app of een desktop-applicatie. Eind maart 2023 werd ontdekt dat de desktop-applicatie voor zowel Windows als macOS schadelijke code bevatte waarmee een groep aanvallers willekeurige code kon downloaden en uitvoeren op alle machines waarop de applicatie was geïnstalleerd. Al snel werd vastgesteld dat deze kwaadaardige code niet iets was dat 3CX zelf had toegevoegd, maar dat 3CX was gecompromitteerd en dat zijn software werd gebruikt in een supply chain-aanval die werd aangestuurd door externe bedreigingsactoren om extra malware te verspreiden naar specifieke 3CX-klanten.
Dit cyberincident heeft de afgelopen dagen de krantenkoppen gehaald. In eerste instantie gemeld op 29 maartth, 2023 in een Reddit thread door een CrowdStrike-ingenieur, gevolgd door een officieel rapport van CrowdStrike, waarin hij met groot vertrouwen verklaarde dat LABIRINTH CHOLLIMA, de codenaam van het bedrijf voor Lazarus, achter de aanval zat (maar elk bewijs achterwege liet om de bewering te staven). Vanwege de ernst van het incident begonnen meerdere beveiligingsbedrijven hun samenvattingen van de gebeurtenissen bij te dragen, namelijk Sophos, Check Point, Broadcom, Trend MicroEn nog veel meer.
Verder werd het deel van de aanval dat betrekking had op systemen met macOS in detail behandeld in a Twitter draad en een blogpost lezen door Patrick Wardle.
Tijdlijn van gebeurtenissen
De tijdlijn laat zien dat de daders de aanslagen lang voor de uitvoering hadden gepland; al in december 2022. Dit suggereert dat ze eind vorig jaar al voet aan de grond hadden in het netwerk van 3CX.
Hoewel de getrojaniseerde 3CX macOS-applicatie laat zien dat deze eind januari was ondertekend, zagen we de slechte applicatie pas op 14 februari in onze telemetrieth, 2023. Het is onduidelijk of de kwaadaardige update voor macOS vóór die datum is verspreid.
Hoewel ESET-telemetrie al in februari het bestaan van de macOS-payload in de tweede fase aantoont, beschikten we niet over het voorbeeld zelf, noch metadata om ons te tippen over de kwaadaardigheid ervan. We nemen deze informatie op om verdedigers te helpen bepalen hoe ver terug systemen mogelijk zijn gecompromitteerd.
Enkele dagen voordat de aanval publiekelijk werd onthuld, werd een mysterieuze Linux-downloader ingediend bij VirusTotal. Het downloadt een nieuwe Lazarus kwaadaardige payload voor Linux en we leggen de relatie met de aanval later in de tekst uit.
Toeschrijving van de 3CX supply chain-aanval aan Lazarus
Wat is er al gepubliceerd
Er is één domein dat een belangrijke rol speelt in onze attributieredenering: journalistiek[.]org. Het wordt genoemd in sommige van de leveranciersrapporten die hierboven zijn gelinkt, maar de aanwezigheid ervan wordt nooit uitgelegd. Interessant zijn artikelen van SentinelEen en Doelstelling Zie vermeld dit domein niet. Evenmin een blogpost door Volexiteit, die zelfs afzag van toeschrijving, met vermelding van "Volexity kan de onthulde activiteit momenteel niet toewijzen aan een bedreigingsactor". De analisten waren een van de eersten die de aanval diepgaand onderzochten en ze creëerden een tool om een lijst met C&C-servers te extraheren uit versleutelde iconen op GitHub. Deze tool is handig, omdat de aanvallers de C&C-servers niet rechtstreeks in de tussenliggende fasen hebben ingebed, maar GitHub eerder als een dead drop-resolver hebben gebruikt. De tussenliggende stadia zijn downloaders voor Windows en macOS die we aanduiden als IconicLoaders, en de payloads die ze krijgen als respectievelijk IconicStealer en UpdateAgent.
Op maart 30th, Joe Desimone, een beveiligingsonderzoeker van Elastische beveiliging, was een van de eersten die, in een Twitter thread, substantiële aanwijzingen dat de door 3CX aangedreven compromissen waarschijnlijk verband houden met Lazarus. Hij merkte op dat een shellcode-stub voor de payload stond d3dcompiler_47.dll is vergelijkbaar met AppleJeus loader stompjes toegeschreven aan Lazarus door CISA in april 2021.
Op maart 31st het was wezen gerapporteerd dat 3CX Mandiant had ingehuurd om incidentresponsdiensten te leveren met betrekking tot de supply chain-aanval.
In april 3rd, Kaspersky, via zijn telemetrie, toonde een directe relatie tussen de 3CX-slachtoffers in de toeleveringsketen en de inzet van een achterdeur genaamd Gopuram, beide met payloads met een gemeenschappelijke naam, guard64.dll. Kaspersky-gegevens tonen aan dat Gopuram is verbonden met Lazarus omdat het naast elkaar bestond op slachtoffermachines AppelJeus, malware die al werd toegeschreven aan Lazarus. Zowel Gopuram als AppleJeus werden waargenomen bij aanvallen op een cryptocurrency-bedrijf.
Dan op 11 aprilth, vatte de CISO van 3CX de tussentijdse bevindingen van Mandiant samen in een blogpost lezen. Volgens dat rapport waren twee Windows-malwarevoorbeelden, een shellcode-lader genaamd TAXHAUL en een complexe downloader genaamd COLDCAT, betrokken bij het compromitteren van 3CX. Er werden geen hashes verstrekt, maar de YARA-regel van Mandiant, genaamd TAXHAUL, wordt ook geactiveerd op andere voorbeelden die al op VirusTotal staan:
- SHA-1: 2ACC6F1D4656978F4D503929B8C804530D7E7CF6 (ualapi.dll),
- SHA-1: DCEF83D8EE080B54DC54759C59F955E73D67AA65 (wlbsctrl.dll)
De bestandsnamen, maar niet de MD5's, van deze voorbeelden komen overeen met die van Kaspersky's blogpost. 3CX stelt echter expliciet dat COLDCAT verschilt van Gopuram.
Het volgende gedeelte bevat een technische beschrijving van de nieuwe schadelijke Linux-payload van Lazarus die we onlangs hebben geanalyseerd, evenals hoe deze ons heeft geholpen de bestaande link tussen Lazarus en het 3CX-compromis te versterken.
Operatie DreamJob met een Linux-payload
Operatie DreamJob van de Lazarus-groep omvat het benaderen van doelen via LinkedIn en hen verleiden met vacatures van marktleiders. De naam is bedacht door ClearSky in een papier gepubliceerd in augustus 2020. Dat artikel beschrijft een Lazarus-cyberspionagecampagne gericht op defensie- en ruimtevaartbedrijven. De activiteit overlapt met wat we Operatie In(ter)ception noemen, een reeks cyberspionageaanvallen die al minstens september 2019. Het richt zich op ruimtevaart-, militaire en defensiebedrijven en gebruikt specifieke kwaadaardige, in eerste instantie alleen Windows-tools. In juli en augustus 2022 vonden we twee gevallen van Operatie In(ter)ception gericht op macOS. Er is één malwaremonster verzonden naar VirusTotal uit Brazilië, en een andere aanval was gericht op een ESET-gebruiker in Argentinië. Een paar weken geleden werd een native Linux-payload gevonden op VirusTotal met een PDF-lokmiddel met HSBC-thema. Dit voltooit het vermogen van Lazarus om zich te richten op alle belangrijke desktopbesturingssystemen.
Op maart 20th, heeft een gebruiker in het land Georgië bij VirusTotal een ZIP-archief met de naam ingediend HSBC vacature.pdf.zip. Gezien andere DreamJob-campagnes van Lazarus, werd deze payload waarschijnlijk verspreid via spearphishing of directe berichten op LinkedIn. Het archief bevat een enkel bestand: een native 64-bit Intel Linux binary geschreven in Go en benoemd HSBC vacature․pdf.
Interessant is dat de bestandsextensie dat niet is .pdf. Dit komt omdat het schijnbare puntteken in de bestandsnaam een leider punt vertegenwoordigd door het U+2024 Unicode-teken. Het gebruik van de leiderpunt in de bestandsnaam was waarschijnlijk een poging om de bestandsbeheerder te misleiden om het bestand te behandelen als een uitvoerbaar bestand in plaats van een pdf. Hierdoor kan het bestand worden uitgevoerd wanneer erop wordt gedubbelklikt in plaats van het te openen met een PDF-viewer. Bij uitvoering wordt een lok-PDF weergegeven aan de gebruiker die gebruikt xdg open, waarmee het document wordt geopend met de door de gebruiker gewenste PDF-viewer (zie afbeelding 3). We hebben besloten om deze ELF-downloader OdicLoader te noemen, omdat het een vergelijkbare rol heeft als de IconicLoaders op andere platforms en de payload wordt opgehaald van OpenDrive.
OdicLoader dropt een misleidend PDF-document, geeft het weer met de standaard PDF-viewer van het systeem (zie afbeelding 2) en downloadt vervolgens een backdoor van de tweede fase van de OpenDrive cloud dienstverlening. Het gedownloade bestand wordt opgeslagen in ~/.config/guiconfigd (SHA-1: 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF). We noemen deze achterdeur in de tweede fase SimplexTea.
Als laatste stap van de uitvoering wijzigt de OdicLoader ~ / .bash_profile, dus SimplexTea wordt gestart met Bash en de uitvoer is gedempt (~/.config/guiconfigd >/dev/null 2>&1).
SimplexTea is een Linux-backdoor geschreven in C++. Zoals aangegeven in tabel 1, lijken de klassennamen sterk op de functienamen die in een voorbeeld worden gevonden, met bestandsnaam systeem, ingediend bij VirusTotal vanuit Roemenië (SHA-1: F6760FB1F8B019AF2304EA6410001B63A1809F1D). Vanwege de overeenkomsten in klassenamen en functienamen tussen SimplexTea en systeem, denken we dat SimplexTea een bijgewerkte versie is, herschreven van C naar C++.
Tabel 1. Vergelijking van de originele symboolnamen van twee Linux-backdoors ingediend bij VirusTotal
guiconfigd |
systeem |
CBerichtCmd::Start(ongeldig) | MSG_Cmd |
CMsgVeilig BestellenDel::Start(ongeldig) | MSG_Del |
CBerichtDir::Start(ongeldig) | MSG_Dir |
CBerichtDown::Start(ongeldig) | MSG_Omlaag |
CBerichtExit::Start(ongeldig) | MSG_Afsluiten |
CMsgReadConfig::Start(ongeldig) | MSG_ReadConfig |
CBerichtRun::Start(ongeldig) | MSG_Uitvoeren |
CMsgSetPath::Start(ongeldig) | MSG_SetPath |
CBerichtSlaap::Start(ongeldig) | MSG_Slaap |
CBerichtTest::Start(ongeldig) | MSG_Test |
Cbericht::Start(ongeldig) | MSG_Omhoog |
CMsgWriteConfig::Start(ongeldig) | MSG_WriteConfig |
MSG_GetComInfo | |
CMsgHibernate::Start(ongeldig) | |
CMsgKeepCon::Start(ongeldig) | |
CMsgZipDown::Start(ongeldig) | |
CMsgZip::StartZip(ongeldig *) | |
CMsgZip::Start(ongeldig) | |
CHttpWrapper::RecvData(uchar *&,uint *,uint,signed char) | |
Ontvangstbericht | |
CHttpWrapper::Stuur bericht(_MSG_STRUCT *) | Stuur bericht |
CHttpWrapper::SendData(uchar *,uint,uint) | |
CHttpWrapper::SendMsg(uint,uint,uchar *,uint,uint) | |
CHttpWrapper::SendLoginData(uchar *,uint,uchar *&,uint *) |
Hoe is systeem verwant aan Lazarus? Het volgende gedeelte toont overeenkomsten met de Windows-achterdeur van Lazarus, genaamd BADCALL.
BADCALL voor Linux
wij attribueren systeem naar Lazarus vanwege de overeenkomsten met de volgende twee bestanden (en we geloven dat systeem is een Linux-variant van de backdoor van de groep voor Windows genaamd BADCALL):
- P2P_DLL.dll (SHA-1: 65122E5129FC74D6B5EBAFCC3376ABAE0145BC14), die code-overeenkomsten vertoont met systeem in de vorm van domeinen die worden gebruikt als dekmantel voor valse TLS-verbindingen (zie figuur 4). Het werd toegeschreven aan Lazarus door CISA in december 2017. Van september 2019, begon CISA nieuwere versies van deze malware BADCALL (SHA-1: D288766FA268BC2534F85FD06A5D52264E646C47).
- prtspoel (SHA-1: 58B0516D28BD7218B1908FB266B8FE7582E22A5F), die code-overeenkomsten vertoont met systeem (zie figuur 5). Het werd toegeschreven aan Lazarus door CISA in februari 2021. Merk ook op dat SIMPLESEA, een macOS-achterdeur die werd gevonden tijdens de 3CX-incidentrespons, de A5 / 1 stream cijfer.
Deze Linux-versie van de BADCALL-achterdeur, systeem, laadt de configuratie vanuit een bestand met de naam /tmp/vgauthsvclog. Aangezien Lazarus-operators hun payloads eerder hebben vermomd, suggereert het gebruik van deze naam, die wordt gebruikt door de VMware Guest Authentication-service, dat het beoogde systeem mogelijk een virtuele Linux VMware-machine is. Interessant is dat de XOR-sleutel in dit geval dezelfde is als die gebruikt in SIMPLESEA uit het 3CX-onderzoek.
Kijkend naar de drie 32-bits gehele getallen, 0xC2B45678, 0x90ABCDEF en 0xFE268455 uit afbeelding 5, die een sleutel vertegenwoordigt voor een aangepaste implementatie van het A5/1-cijfer, realiseerden we ons dat hetzelfde algoritme en de identieke sleutels werden gebruikt in Windows-malware die dateert van eind 2014 en betrokken was bij een van de meest beruchte Lazarus-zaken: de cybersabotage van Sony Pictures Entertainment (SHA-1: 1C66E67A8531E3FF1C64AE57E6EDFDE7BEF2352D).
Aanvullende attributiegegevenspunten
Om samen te vatten wat we tot nu toe hebben behandeld, schrijven we de 3CX supply chain-aanval met een hoog niveau van vertrouwen toe aan de Lazarus-groep. Dit is gebaseerd op de volgende factoren:
- Malware (de inbraakset):
- De iconische lader (samcli.dll) gebruikt hetzelfde type sterke codering - AES-GCM - als SimplexTea (waarvan de toeschrijving aan Lazarus werd vastgesteld via de gelijkenis met BALLCALL voor Linux); alleen de sleutels en initialisatievectoren verschillen.
- Gebaseerd op de PE Rich Headers, zowel IconicLoader (samcli.dll) en IconicStealer (sechost.dll) zijn projecten van vergelijkbare grootte en gecompileerd in dezelfde Visual Studio-omgeving als de uitvoerbare bestanden iertutil.dll (SHA-1: 5B03294B72C0CAA5FB20E7817002C600645EB475) en iertutil.dll (SHA-1: 7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC) gerapporteerd in de Lazarus cryptocurrency-campagnes door Volexiteit en Microsoft. We nemen hieronder de YARA-regel op RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023, die al deze voorbeelden markeert, en geen ongerelateerde schadelijke of schone bestanden, zoals getest op de huidige ESET-databases en recente VirusTotal-inzendingen.
- De SimplexTea-payload laadt zijn configuratie op een vergelijkbare manier als de SIMPLESEA-malware uit de officiële incidentrespons van 3CX. De XOR-toets verschilt (0x5E vs 0x7E), maar de configuratie draagt dezelfde naam: apdl.cf (zie figuur 8).
- Infrastructuur:
- Er is een gedeelde netwerkinfrastructuur met SimplexTea, zoals het gebruikt https://journalide[.]org/djour.php zoals het C&C, waarvan het domein wordt gerapporteerd in de officiële resultaten van de incidentrespons van het 3CX-compromis door Mandiant.
Conclusie
Het 3CX-compromis heeft sinds de onthulling op 29 maart veel aandacht gekregen van de beveiligingsgemeenschapth. Deze gecompromitteerde software, ingezet op verschillende IT-infrastructuren, die het downloaden en uitvoeren van elke soort payload mogelijk maakt, kan verwoestende gevolgen hebben. Helaas is geen enkele software-uitgever immuun voor inbraak en het onbedoeld verspreiden van getrojaniseerde versies van hun applicaties.
De onopvallendheid van een supply chain-aanval maakt deze methode voor het verspreiden van malware erg aantrekkelijk vanuit het perspectief van een aanvaller. Lazarus heeft al gebruikt deze techniek in het verleden gericht op Zuid-Koreaanse gebruikers van WIZVERA VeraPort-software in 2020. Overeenkomsten met bestaande malware uit de Lazarus-toolset en met de typische technieken van de groep suggereren sterk dat het recente 3CX-compromis ook het werk is van Lazarus.
Het is ook interessant om op te merken dat Lazarus malware kan produceren en gebruiken voor alle belangrijke desktopbesturingssystemen: Windows, macOS en Linux. Zowel Windows- als macOS-systemen waren het doelwit tijdens het 3CX-incident, waarbij de VoIP-software van 3CX voor beide besturingssystemen werd getrojaniseerd om kwaadaardige code op te nemen om willekeurige payloads op te halen. In het geval van 3CX bestaan er zowel Windows- als macOS-malwareversies van de tweede fase. Dit artikel demonstreert het bestaan van een Linux-backdoor die waarschijnlijk overeenkomt met de SIMPLESEA macOS-malware die werd gezien in het 3CX-incident. We noemden dit Linux-onderdeel SimplexTea en lieten zien dat het deel uitmaakt van Operatie DreamJob, de vlaggenschipcampagne van Lazarus die gebruikmaakt van vacatures om nietsvermoedende slachtoffers te lokken en te compromitteren.
ESET Research biedt privé APT-inlichtingenrapporten en datafeeds. Voor vragen over deze service kunt u terecht op de ESET-bedreigingsinformatie pagina.
IoC's
Bestanden
SHA-1 | Bestandsnaam | ESET-detectienaam | Omschrijving |
---|---|---|---|
0CA1723AFE261CD85B05C9EF424FC50290DCE7DF | guiconfigd | Linux/NukeSped.E | SimplexTea voor Linux. |
3A63477A078CE10E53DFB5639E35D74F93CEFA81 | HSBC_job_offer․pdf | Linux/NukeSped.E | OdicLoader, een 64-bits downloader voor Linux, geschreven in Go. |
9D8BADE2030C93D0A010AA57B90915EB7D99EC82 | HSBC_job_offer.pdf.zip | Linux/NukeSped.E | Een ZIP-archief met een Linux-payload, van VirusTotal. |
F6760FB1F8B019AF2304EA6410001B63A1809F1D | systeem | Linux/NukeSped.G | BADCALL voor Linux. |
Eerst gezien | 2023-03-20 12:00:35 |
---|---|
MD5 | CEDB9CDBAD254F60CFB215B9BFF84FB9 |
SHA-1 | 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF |
SHA-256 | EEBB01932DE0B5605DD460CC82844D8693C00EA8AB5FFDF8DBEDE6528C1C18FD |
Bestandsnaam | guiconfigd |
Omschrijving | SimplexTea voor Linux. |
C&C | https://journalide[.]org/djour.php |
gedownload van | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
Opsporing | Linux/NukeSped.E |
Tijdstempel voor PE-compilatie | NB |
Eerst gezien | 2023-03-16 07:44:18 |
---|---|
MD5 | 3CF7232E5185109321921046D039CF10 |
SHA-1 | 3A63477A078CE10E53DFB5639E35D74F93CEFA81 |
SHA-256 | 492A643BD1EFDACA4CA125ADE1B606E7BBF00E995AC9115AC84D1C4C59CB66DD |
Bestandsnaam | HSBC_job_offer․pdf |
Omschrijving | OdicLoader, een 64-bits downloader voor Linux, in Go. |
C&C | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
gedownload van | NB |
Opsporing | Linux/NukeSped.E |
Tijdstempel voor PE-compilatie | NB |
Eerst gezien | 2023-03-20 02:23:29 |
---|---|
MD5 | FC41CB8425B6432AF8403959BB59430D |
SHA-1 | 9D8BADE2030C93D0A010AA57B90915EB7D99EC82 |
SHA-256 | F638E5A20114019AD066DD0E856F97FD865798D8FBED1766662D970BEFF652CA |
Bestandsnaam | HSBC_job_offer.pdf.zip |
Omschrijving | Een ZIP-archief met een Linux-payload, van VirusTotal. |
C&C | NB |
gedownload van | NB |
Opsporing | Linux/NukeSped.E |
Tijdstempel voor PE-compilatie | NB |
Eerst gezien | 2023-02-01 23:47:05 |
---|---|
MD5 | AAC5A52B939F3FE792726A13FF7A1747 |
SHA-1 | F6760FB1F8B019AF2304EA6410001B63A1809F1D |
SHA-256 | CC307CFB401D1AE616445E78B610AB72E1C7FB49B298EA003DD26EA80372089A |
Bestandsnaam | systeem |
Omschrijving | BADCALL voor Linux. |
C&C | tcp://23.254.211[.]230 |
gedownload van | NB |
Opsporing | Linux/NukeSped.G |
Tijdstempel voor PE-compilatie | NB |
Netwerk
IP-adres | Domein | Hostingprovider | Eerst gezien | Details |
---|---|---|---|---|
23.254.211[.]230 | NB | Hostwinds LLC. | NB | C&C-server voor BADCALL voor Linux |
38.108.185[.]79 38.108.185[.]115 |
od[.]lk | Cogent Communications | 2023-03-16 | Externe OpenDrive-opslag met SimplexTea (/d/NTJfMzg4MDE1NzJf/vxmedia) |
172.93.201[.]88 | journalistiek[.]org | Nexeon-technologieën, Inc. | 2023-03-29 | C&C-server voor SimplexTea (/djour.php) |
MITRE ATT&CK-technieken
Tactiek | ID | Naam | Omschrijving |
---|---|---|---|
verkenning | T1593.001 | Zoeken Open websites/domeinen: sociale media | Lazarus-aanvallers hebben waarschijnlijk een doelwit benaderd met een nepaanbieding voor een baan met een HSBC-thema die zou passen bij de interesse van het doelwit. Dit gebeurde in het verleden vooral via LinkedIn. |
Ontwikkeling van hulpbronnen | T1584.001 | Infrastructuur verwerven: domeinen | In tegenstelling tot veel eerdere gevallen van gecompromitteerde C&C's die werden gebruikt in Operatie DreamJob, registreerden Lazarus-operators hun eigen domein voor het Linux-doelwit. |
T1587.001 | Ontwikkelmogelijkheden: Malware | Aangepaste tools van de aanval zijn zeer waarschijnlijk ontwikkeld door de aanvallers. | |
T1585.003 | Accounts opzetten: Cloud-accounts | De aanvallers hosten de laatste fase op de cloudservice OpenDrive. | |
T1608.001 | Stagemogelijkheden: Malware uploaden | De aanvallers hosten de laatste fase op de cloudservice OpenDrive. | |
Uitvoering | T1204.002 | Uitvoering door gebruiker: kwaadaardig bestand | OdicLoader doet zich voor als een PDF-bestand om het doelwit voor de gek te houden. |
Eerste toegang | T1566.002 | Phishing: Spearphishing-link | Het doelwit ontving waarschijnlijk een link naar externe opslag van derden met een kwaadaardig ZIP-archief, dat later werd ingediend bij VirusTotal. |
Volharding | T1546.004 | Event Triggered Execution: Wijziging Unix Shell-configuratie | OdicLoader wijzigt het Bash-profiel van het slachtoffer, dus SimplexTea wordt elke keer dat Bash wordt gestart gestart en de uitvoer wordt gedempt. |
verdediging ontduiking | T1134.002 | Toegang tot tokenmanipulatie: proces maken met token | SimplexTea kan een nieuw proces creëren, indien geïnstrueerd door de C&C-server. |
T1140 | Deobfuscate/decodeer bestanden of informatie | SimplexTea slaat de configuratie op in een gecodeerde apdl.cf. | |
T1027.009 | Obfuscated bestanden of informatie: ingesloten payloads | De droppers van alle kwaadaardige ketens bevatten een ingebedde data-array met een extra stage. | |
T1562.003 | Aantasting van verdedigingen: aantasting van logboekregistratie van opdrachtgeschiedenis | OdicLoader wijzigt het Bash-profiel van het slachtoffer, zodat de output en foutmeldingen van SimplexTea worden gedempt. SimplexTea voert nieuwe processen uit met dezelfde techniek. | |
T1070.004 | Indicator verwijderen: verwijderen van bestanden | SimplexTea heeft de mogelijkheid om bestanden veilig te verwijderen. | |
T1497.003 | Virtualisatie/sandboxontwijking: op tijd gebaseerde ontwijking | SimplexTea implementeert meerdere aangepaste slaapvertragingen bij de uitvoering ervan. | |
De reis van mijn leven | T1083 | Bestands- en directorydetectie | SimplexTea kan de directory-inhoud samen met hun namen, groottes en tijdstempels weergeven (het nabootsen van de ls -la opdracht). |
Command and Control | T1071.001 | Applicatielaagprotocol: webprotocollen | SimplexTea kan HTTP en HTTPS gebruiken voor communicatie met zijn C&C-server, met behulp van een statisch gekoppelde Curl-bibliotheek. |
T1573.001 | Versleuteld kanaal: symmetrische cryptografie | SimplexTea versleutelt C&C-verkeer met behulp van het AES-GCM-algoritme. | |
T1132.001 | Gegevenscodering: standaardcodering | SimplexTea codeert C&C-verkeer met behulp van base64. | |
T1090 | volmacht | SimplexTea kan een proxy gebruiken voor communicatie. | |
exfiltratie | T1041 | Exfiltratie via C2-kanaal | SimplexTea kan gegevens exfiltreren als ZIP-archieven naar zijn C&C-server. |
Bijlage
Deze YARA-regel markeert het cluster dat zowel IconicLoader als IconicStealer bevat, evenals de payloads die zijn ingezet in de cryptocurrency-campagnes vanaf december 2022.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
/* The following rule will only work with YARA version >= 3.11.0 */ import “pe” rule RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023 { meta: description = ” Rich Headers-based rule covering the IconicLoader and IconicStealer from the 3CX supply chain incident, and also payloads from the cryptocurrency campaigns from 2022-12″ author = “ESET Research” date = “2023-03-31” hash = “3B88CDA62CDD918B62EF5AA8C5A73A46F176D18B” hash = “CAD1120D91B812ACAFEF7175F949DD1B09C6C21A” hash = “5B03294B72C0CAA5FB20E7817002C600645EB475” hash = “7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC” condition: pe.rich_signature.toolid(259, 30818) == 9 and pe.rich_signature.toolid(256, 31329) == 1 and pe.rich_signature.toolid(261, 30818) >= 30 and pe.rich_signature.toolid(261, 30818) <= 38 and pe.rich_signature.toolid(261, 29395) >= 134 and pe.rich_signature.toolid(261, 29395) <= 164 and pe.rich_signature.toolid(257, 29395) >= 6 and pe.rich_signature.toolid(257, 29395) <= 14 } |
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- De toekomst slaan met Adryenn Ashley. Toegang hier.
- Bron: https://www.welivesecurity.com/2023/04/20/linux-malware-strengthens-links-lazarus-3cx-supply-chain-attack/
- : heeft
- :is
- :niet
- $UP
- 000
- 000 klanten
- 1
- 11
- 20
- 2014
- 2020
- 2021
- 2022
- 2023
- 39
- 7
- 8
- 9
- a
- vermogen
- in staat
- Over
- boven
- Volgens
- Account
- accounts
- activiteit
- actoren
- toegevoegd
- Extra
- LUCHT- EN RUIMTEVAART
- die van invloed
- tegen
- algoritme
- Alles
- toestaat
- naast
- al
- ook
- onder
- an
- analisten
- en
- Nog een
- elke
- gebruiken
- schijnbaar
- aantrekkelijk
- Aanvraag
- toepassingen
- naderen
- April
- APT
- Archief
- ZIJN
- Argentinië
- reeks
- dit artikel
- artikelen
- AS
- At
- aanvallen
- Aanvallen
- aandacht
- Augustus
- authenticatie
- auteur
- terug
- achterdeur
- Backdoors
- steun
- slecht
- gebaseerde
- slaan
- BE
- beren
- omdat
- geweest
- vaardigheden
- Begin
- achter
- wezen
- geloofd wie en wat je bent
- onder
- tussen
- zowel
- Brazilië
- browser
- by
- C + +
- Bellen
- Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
- Campagne
- Campagnes
- CAN
- kan niet
- mogelijkheden
- geval
- gevallen
- Veroorzaken
- keten
- ketens
- Kanaal
- karakter
- cijfer
- CISO
- aanspraak maken op
- klasse
- klant
- Cloud
- Cloud Storage
- TROS
- code
- gemunt
- COM
- Gemeen
- Communicatie
- Communicatie
- gemeenschap
- Bedrijven
- afstand
- Bedrijf
- vergelijking
- voltooit
- complex
- bestanddeel
- compromis
- Aangetast
- voorwaarde
- uitgevoerd
- vertrouwen
- Configuratie
- Bevestigen
- gekoppeld blijven
- versterken
- contact
- bevatten
- bevat
- content
- bijdragen
- komt overeen
- bevestigen
- kon
- Land
- bedekt
- aan het bedekken
- en je merk te creëren
- aangemaakt
- cryptogeld
- Actueel
- Op dit moment
- gewoonte
- Klanten
- gegevens
- databanken
- Datum
- Data
- dagen
- dood
- December
- beslist
- Standaard
- verdedigers
- Verdediging
- vertragingen
- levert
- gedemonstreerd
- demonstreert
- ingezet
- inzet
- diepte
- beschrijving
- desktop
- detail
- Opsporing
- Bepalen
- vastbesloten
- verwoestende
- ontwikkelde
- Ontwikkelaar
- DEED
- verschillen
- directe
- direct
- onthulling
- ontdekt
- ontdekking
- displays
- verdelen
- verdeeld
- verspreiden van
- distributie
- document
- domein
- domeinen
- DOT
- Download
- downloads
- gedreven
- Val
- Drops
- nagesynchroniseerde
- gedurende
- elk
- Vroeg
- ingebed
- ingeschakeld
- versleutelde
- encryptie
- ingenieur
- Engineering
- Onstpanning
- Milieu
- fout
- ESET-onderzoek
- gevestigd
- Zelfs
- EVENTS
- bewijzen
- Voert uit
- uitvoering
- bestaand
- Verklaren
- uitgelegd
- uitbreiding
- extern
- extract
- factoren
- nep
- Februari
- opgehaald
- weinig
- Figuur
- Dien in
- Bestanden
- finale
- Voornaam*
- geschikt
- vlaggen
- vlaggeschip
- gevolgd
- volgend
- Voor
- formulier
- formaat
- gevonden
- oppompen van
- voor
- vol
- functie
- krijgen
- GitHub
- gegeven
- Go
- Groep
- Groep
- Gast
- hachee
- Hebben
- he
- headers
- Headlines
- gezondheidszorg
- hulp
- geholpen
- Verbergen
- Hoge
- Gemarkeerd
- geschiedenis
- hospitality
- gehost
- Hoe
- Echter
- HSBC
- HTML
- http
- HTTPS
- identiek
- Effecten
- uitvoering
- gereedschap
- importeren
- in
- incident
- incident reactie
- omvatten
- Inclusief
- -industrie
- berucht
- informatie
- Infrastructuur
- infrastructuren
- eerste
- vragen
- geïnstalleerd
- verkrijgen in plaats daarvan
- Intel
- Intelligentie
- belang
- interessant
- Internationale
- in
- onderzoeken
- onderzoek
- betrokken zijn
- IT
- HAAR
- zelf
- Januari
- Jobomschrijving:
- JOE
- juli-
- Kaspersky
- sleutel
- toetsen
- Soort
- kennis
- Korean
- Achternaam*
- Afgelopen jaar
- Laat
- gelanceerd
- lagen
- Lazarus
- Lazarus Group
- leider
- leiders
- Niveau
- Bibliotheek
- Waarschijnlijk
- LINK
- gekoppeld
- links
- linux
- Lijst
- LLC
- lader
- het laden
- ladingen
- lang
- Kijk
- lot
- machine
- Machines
- macos
- gemaakt
- groot
- MERKEN
- malware
- manager
- Manipulatie
- veel
- kaart
- Maart
- max-width
- Mei..
- vermeld
- berichten
- meta
- Metadata
- methode
- Microsoft
- macht
- Leger
- Mobile
- Applicatie voor de mobiele telefoon
- meer
- meest
- meervoudig
- mysterieus
- naam
- Genoemd
- namelijk
- namen
- inheemse
- Noch
- netwerk
- New
- volgende
- noorden
- berucht
- of
- bieden
- Aanbod
- officieel
- on
- EEN
- lopend
- Slechts
- open
- opening
- werkzaam
- besturingssystemen
- operatie
- exploitanten
- or
- bestellen
- organisaties
- origineel
- Overige
- onze
- uitgang
- over
- het te bezitten.
- P&E
- pagina
- Papier
- deel
- verleden
- perspectief
- phone
- Foto's
- gepland
- platforms
- Plato
- Plato gegevensintelligentie
- PlatoData
- dan
- bij voorkeur
- aanwezigheid
- vorig
- die eerder
- Voorafgaand
- privaat
- waarschijnlijk
- processen
- produceren
- Profiel
- projecten
- protocol
- zorgen voor
- mits
- biedt
- het verstrekken van
- volmacht
- publiek
- in het openbaar
- gepubliceerde
- uitgever
- snel
- liever
- realiseerde
- samenvatting
- ontvangen
- recent
- onlangs
- geregistreerd
- verwant
- verwantschap
- vanop
- verwijdering
- verslag
- gemeld
- Rapporten
- vertegenwoordigen
- vertegenwoordigd
- onderzoek
- onderzoeker
- onderzoekers
- antwoord
- Revealed
- Rijk
- Rol
- Roemenië
- Regel
- lopen
- lopend
- dezelfde
- seconden
- sectie
- Sectoren
- vast
- veiligheid
- -Series
- Servers
- service
- Diensten
- reeks
- verscheidene
- gedeeld
- Shell
- Shows
- Gesigneerd
- aanzienlijke
- gelijk
- overeenkomsten
- sinds
- single
- Maat
- maten
- slaap
- So
- dusver
- Social
- Social engineering
- Software
- sommige
- iets
- Sony
- Zuiden
- Zuid-Koreaans
- specifiek
- Stadium
- stadia
- standaard
- gestart
- Staten
- Stap voor
- mediaopslag
- opgeslagen
- winkels
- stream
- Versterken
- Versterkt
- sterke
- sterk
- studio
- Inzending
- ingediend
- wezenlijk
- Stelt voor
- leveren
- toeleveringsketen
- symbool
- syntaxis
- system
- Systems
- tafel
- doelwit
- doelgerichte
- targeting
- doelen
- Technisch
- technieken
- Technologies
- neem contact
- dat
- De
- hun
- Ze
- zich
- Deze
- van derden
- dit
- bedreiging
- bedreigingsactoren
- drie
- Door
- niet de tijd of
- tijdlijn
- type
- naar
- samen
- teken
- tools
- tools
- verkeer
- behandelen
- veroorzaakt
- typisch
- typografie
- unix
- bijwerken
- bijgewerkt
- URL
- us
- .
- gebruikt
- Gebruiker
- gebruikers
- gebruik maken van
- Variant
- divers
- verkoper
- versie
- via
- Slachtoffer
- slachtoffers
- Virtueel
- virtuele machine
- Bezoek
- vmware
- vs
- Wardle
- was
- Manier..
- we
- web
- web browser
- Website
- weken
- GOED
- waren
- Wat
- of
- welke
- breed
- Wikipedia
- wil
- ruiten
- Met
- Mijn werk
- zou
- wikkel
- geschreven
- jaar
- zephyrnet
- Postcode