Likheter med nyoppdaget Linux-malware brukt i Operation DreamJob bekrefter teorien om at den beryktede Nord-Korea-justerte gruppen står bak 3CX forsyningskjedeangrepet
ESET-forskere har oppdaget en ny Lazarus Operation DreamJob-kampanje rettet mot Linux-brukere. Operation DreamJob er navnet på en serie kampanjer der gruppen bruker sosiale ingeniørteknikker for å kompromittere sine mål, med falske jobbtilbud som lokkemiddel. I dette tilfellet klarte vi å rekonstruere hele kjeden, fra ZIP-filen som leverer et falskt HSBC-jobbtilbud som et lokkemiddel, frem til den endelige nyttelasten: SimplexTea Linux-bakdøren distribuert gjennom en OpenDrive skylagringskonto. Så vidt vi vet, er dette den første offentlige omtalen av denne store Nord-Korea-justerte trusselaktøren som bruker Linux malware som en del av denne operasjonen.
I tillegg hjalp denne oppdagelsen oss med å bekrefte med høy grad av selvtillit at det nylige 3CX forsyningskjedeangrepet faktisk ble utført av Lazarus – en kobling som ble mistenkt helt fra begynnelsen og demonstrert av flere sikkerhetsforskere siden. I dette blogginnlegget bekrefter vi disse funnene og gir ytterligere bevis om sammenhengen mellom Lazarus og 3CX forsyningskjedeangrepet.
3CX forsyningskjedeangrepet
3CX er en internasjonal VoIP-programvareutvikler og -distributør som leverer telefonsystemtjenester til mange organisasjoner. I følge nettstedet har 3CX mer enn 600,000 12,000,000 kunder og 2023 3 3 brukere i ulike sektorer, inkludert romfart, helsevesen og gjestfrihet. Den gir klientprogramvare for å bruke systemene via en nettleser, mobilapp eller en skrivebordsapplikasjon. Sent i mars 3 ble det oppdaget at skrivebordsapplikasjonen for både Windows og macOS inneholdt ondsinnet kode som gjorde det mulig for en gruppe angripere å laste ned og kjøre vilkårlig kode på alle maskiner der applikasjonen var installert. Raskt ble det fastslått at denne ondsinnede koden ikke var noe som XNUMXCX la til selv, men at XNUMXCX ble kompromittert og at programvaren ble brukt i et forsyningskjedeangrep drevet av eksterne trusselaktører for å distribuere ytterligere skadelig programvare til spesifikke XNUMXCX-kunder.
Denne cyber-hendelsen har skapt overskrifter de siste dagene. Opprinnelig rapportert 29. marsth, 2023 i a Reddit tråd av en CrowdStrike-ingeniør, etterfulgt av en offisiell rapport av CrowdStrike, og uttalte med stor sikkerhet at LABIRINTH CHOLLIMA, selskapets kodenavn for Lazarus, sto bak angrepet (men utelater bevis som støtter påstanden). På grunn av alvorligheten til hendelsen begynte flere sikkerhetsselskaper å bidra med sine oppsummeringer av hendelsene, nemlig Sophos, Check Point, Broadcom, trend Micro, Og mer.
Videre ble den delen av angrepet som påvirker systemer som kjører macOS dekket i detalj i en Twitter tråd og en blogg innlegg av Patrick Wardle.
Tidslinje for hendelser
Tidslinjen viser at gjerningsmennene hadde planlagt angrepene lenge før henrettelse; allerede i desember 2022. Dette tyder på at de allerede hadde fotfeste i 3CXs nettverk sent i fjor.
Mens den trojaniserte 3CX macOS-applikasjonen viser at den ble signert i slutten av januar, så vi ikke den dårlige applikasjonen i telemetrien vår før 14. februarth, 2023. Det er uklart om den skadelige oppdateringen for macOS ble distribuert før den datoen.
Selv om ESET-telemetri viser eksistensen av macOS andre-trinns nyttelast allerede i februar, hadde vi ikke selve prøven eller metadata for å tipse oss om ondsinnetheten. Vi inkluderer denne informasjonen for å hjelpe forsvarere med å finne ut hvor langt tilbake systemer kan ha blitt kompromittert.
Flere dager før angrepet ble offentlig avslørt, ble en mystisk Linux-nedlaster sendt til VirusTotal. Den laster ned en ny Lazarus ondsinnet nyttelast for Linux, og vi forklarer forholdet til angrepet senere i teksten.
Attribusjon av 3CX forsyningskjedeangrepet til Lazarus
Det som allerede er publisert
Det er ett domene som spiller en betydelig rolle i attribusjonsresonnementet vårt: journalide[.]org. Det er nevnt i noen av leverandørrapportene lenket ovenfor, men dets tilstedeværelse blir aldri forklart. Interessant nok artikler av SentinelOne og MålSe ikke nevne dette domenet. Heller ikke et blogginnlegg av Voleksitet, som til og med avsto fra å gi attribusjon, anførte "Volexity kan for øyeblikket ikke kartlegge den avslørte aktiviteten til noen trusselaktør". Analytikerne var blant de første som undersøkte angrepet i dybden, og de laget et verktøy for å trekke ut en liste over C&C-servere fra krypterte ikoner på GitHub. Dette verktøyet er nyttig, siden angriperne ikke innebygde C&C-serverne direkte i mellomstadiene, men heller brukte GitHub som en døddråpeløser. Mellomstadiene er nedlastere for Windows og macOS som vi betegner som IconicLoaders, og nyttelastene de får som henholdsvis IconicStealer og UpdateAgent.
I mars 30th, Joe Desimone, en sikkerhetsforsker fra Elastisk sikkerhet, var blant de første som ga, i en Twitter tråd, betydelige ledetråder om at de 3CX-drevne kompromissene sannsynligvis er knyttet til Lazarus. Han observerte at en shellcode-stubb foran nyttelasten fra d3dcompiler_47.dll ligner på AppleJeus-lasterstubber tilskrevet Lazarus av CISA tilbake i april 2021.
I mars 31st det var være rapportert at 3CX hadde beholdt Mandiant for å tilby hendelsesresponstjenester knyttet til forsyningskjedeangrepet.
På april 3rd, Kaspersky, gjennom sin telemetri, viste et direkte forhold mellom 3CX-leverandørkjedeofrene og utplasseringen av en bakdør kalt Gopuram, begge involverer nyttelast med et felles navn, guard64.dll. Kaspersky-data viser at Gopuram er koblet til Lazarus fordi den eksisterte på offermaskiner sammen med AppleJeus, skadelig programvare som allerede ble tilskrevet Lasarus. Både Gopuram og AppleJeus ble observert i angrep mot et kryptovalutaselskap.
Så, 11. aprilth, oppsummerte CISO til 3CX Mandiants foreløpige funn i en blogg innlegg. I følge denne rapporten var to Windows-malwareeksempler, en shellcode-laster kalt TAXHAUL og en kompleks nedlaster kalt COLDCAT, involvert i kompromisset med 3CX. Ingen hasher ble gitt, men Mandiants YARA-regel, kalt TAXHAUL, utløses også på andre prøver som allerede er på VirusTotal:
- SHA-1: 2ACC6F1D4656978F4D503929B8C804530D7E7CF6 (ualapi.dll),
- SHA-1: DCEF83D8EE080B54DC54759C59F955E73D67AA65 (wlbsctrl.dll)
Filnavnene, men ikke MD5-ene, til disse prøvene faller sammen med dem fra Kasperskys blogginnlegg. 3CX sier imidlertid eksplisitt at COLDCAT skiller seg fra Gopuram.
Den neste delen inneholder en teknisk beskrivelse av den nye Lazarus ondsinnede Linux-nyttelasten vi nylig analyserte, samt hvordan den hjalp oss med å styrke den eksisterende koblingen mellom Lazarus og 3CX-kompromisset.
Operasjon DreamJob med en Linux-nyttelast
Lazarus-gruppens Operation DreamJob innebærer å nærme seg mål gjennom LinkedIn og friste dem med jobbtilbud fra industriledere. Navnet ble laget av ClearSky i en papir publisert i august 2020. Denne artikkelen beskriver en Lazarus cyberspionasjekampanje rettet mot forsvars- og romfartsselskaper. Aktiviteten har overlappet med det vi kaller Operation In(ter)ception, en serie nettspionasjeangrep som har pågått siden minst september 2019. Den retter seg mot luftfarts-, militær- og forsvarsselskaper og bruker spesifikke ondsinnede, i utgangspunktet kun Windows-verktøy. I løpet av juli og august 2022 fant vi to tilfeller av Operation In(ter)ception rettet mot macOS. Én skadevareprøve ble sendt til VirusTotal fra Brasil, og et annet angrep rettet mot en ESET-bruker i Argentina. For noen uker siden ble en innfødt Linux-nyttelast funnet på VirusTotal med en PDF-lokking med HSBC-tema. Dette fullfører Lazarus' evne til å målrette mot alle større stasjonære operativsystemer.
I mars 20th, en bruker i landet Georgia sendte til VirusTotal et ZIP-arkiv kalt HSBC jobbtilbud.pdf.zip. Gitt andre DreamJob-kampanjer av Lazarus, ble denne nyttelasten sannsynligvis distribuert gjennom spearphishing eller direktemeldinger på LinkedIn. Arkivet inneholder en enkelt fil: en innebygd 64-bit Intel Linux binær skrevet i Go og kalt HSBC jobbtilbud․pdf.
Interessant nok er ikke filtypen det . Pdf. Dette er fordi det tilsynelatende punkttegnet i filnavnet er en leder prikk representert ved U+2024 Unicode-tegnet. Bruken av lederprikken i filnavnet var sannsynligvis et forsøk på å lure filbehandleren til å behandle filen som en kjørbar fil i stedet for en PDF. Dette kan føre til at filen kjører når den dobbeltklikkes i stedet for å åpne den med en PDF-visning. Ved utførelse vises en lokke-PDF for brukeren som bruker XDG-open, som åpner dokumentet ved å bruke brukerens foretrukne PDF-visningsprogram (se figur 3). Vi bestemte oss for å kalle denne ELF-nedlasteren OdicLoader, siden den har en lignende rolle som IconicLoaders på andre plattformer og nyttelasten hentes fra OpenDrive.
OdicLoader slipper et lokkedue-PDF-dokument, viser det ved å bruke systemets standard PDF-visningsprogram (se figur 2), og laster deretter ned en andre-trinns bakdør fra OpenDrive skytjeneste. Den nedlastede filen lagres i ~/.config/guiconfigd (sha-1: 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF). Vi kaller dette andre trinns bakdør SimplexTea.
Som det siste trinnet i utførelsen, endres OdicLoader ~ / Bash_profile, så SimplexTea lanseres med Bash og utgangen er dempet (~/.config/guiconfigd >/dev/null 2>&1).
SimplexTea er en Linux-bakdør skrevet i C++. Som fremhevet i tabell 1, er klassenavnene veldig like funksjonsnavn som finnes i en prøve, med filnavn sysnetd, sendt til VirusTotal fra Romania (SHA-1: F6760FB1F8B019AF2304EA6410001B63A1809F1D). På grunn av likhetene i klassenavn og funksjonsnavn mellom SimplexTea og sysnetd, tror vi SimplexTea er en oppdatert versjon, omskrevet fra C til C++.
Tabell 1. Sammenligning av de originale symbolnavnene fra to Linux-bakdører sendt til VirusTotal
guiconfigd |
sysnetd |
CMsgCmd::Start(ugyldig) | MSG_Cmd |
CmsgSikreDel::Start(ugyldig) | MSG_Del |
CMsgDir::Start(ugyldig) | MSG_Dir |
CMsgDown::Start(ugyldig) | MSG_Ned |
CMsgExit::Start(ugyldig) | MSG_Avslutt |
CMsgReadConfig::Start(ugyldig) | MSG_ReadConfig |
CMsgRun::Start(ugyldig) | MSG_Kjør |
CMsgSetPath::Start(ugyldig) | MSG_SetPath |
CMsgSleep::Start(ugyldig) | MSG_Søvn |
CMsgTest::Start(ugyldig) | MSG_Test |
CMsgUp::Start(ugyldig) | MSG_Opp |
CMsgWriteConfig::Start(ugyldig) | MSG_WriteConfig |
MSG_GetComInfo | |
CMsgHibernate::Start(void) | |
CMsgKeepCon::Start(void) | |
CMsgZipDown::Start(void) | |
CMsgZip::StartZip(void *) | |
CMsgZip::Start(void) | |
CHttpWrapper::RecvData(uchar *&,uint *,uint,signert char) | |
RecvMsg | |
CHttpWrapper::Send melding(_MSG_STRUCT *) | Send melding |
CHttpWrapper::SendData(uchar *,uint,uint) | |
CHttpWrapper::SendMsg(uint,uint,uchar *,uint,uint) | |
CHttpWrapper::SendLoginData(uchar *,uint,uchar *&,uint *) |
Hvordan er sysnetd relatert til Lasarus? Følgende seksjon viser likheter med Lazarus' Windows-bakdør kalt BADCALL.
BADCALL for Linux
Vi tilskriver sysnetd til Lazarus på grunn av dens likheter med følgende to filer (og vi tror det sysnetd er en Linux-variant av gruppens bakdør for Windows kalt BADCALL):
- P2P_DLL.dll (sha-1: 65122E5129FC74D6B5EBAFCC3376ABAE0145BC14), som viser kodelikheter med sysnetd i form av domener brukt som front for falsk TLS-tilkobling (se figur 4). Det ble tilskrevet Lasarus av CISA i desember 2017. Fra september 2019, begynte CISA å kalle nyere versjoner av denne skadelige programvaren BADCALL (SHA-1: D288766FA268BC2534F85FD06A5D52264E646C47).
- prtspool (sha-1: 58B0516D28BD7218B1908FB266B8FE7582E22A5F), som viser kodelikheter med sysnetd (se figur 5). Det ble tilskrevet Lasarus av CISA i februar 2021. Merk også at SIMPLESEA, en macOS-bakdør som ble funnet under 3CX-hendelsesresponsen, implementerer A5 / 1 strømchiffer.
Denne Linux-versjonen av BADCALL-bakdøren, sysnetd, laster inn konfigurasjonen fra en fil som heter /tmp/vgauthsvclog. Siden Lazarus-operatører tidligere har forkledd nyttelastene sine, antyder bruken av dette navnet, som brukes av VMware Guest Authentication-tjenesten, at det målrettede systemet kan være en virtuell Linux VMware-maskin. Interessant nok er XOR-nøkkelen i dette tilfellet den samme som den som ble brukt i SIMPLESEA fra 3CX-undersøkelsen.
Ta en titt på de tre 32-biters heltallene, 0xC2B45678, 0x90ABCDEFog 0xFE268455 fra figur 5, som representerer en nøkkel for en tilpasset implementering av A5/1-chifferet, innså vi at den samme algoritmen og de identiske nøklene ble brukt i Windows malware som dateres tilbake til slutten av 2014 og var involvert i en av de mest beryktede Lazarus-saker: cybersabotasjen til Sony Pictures Entertainment (SHA-1: 1C66E67A8531E3FF1C64AE57E6EDFDE7BEF2352D).
Ytterligere attribusjonsdatapunkter
For å oppsummere hva vi har dekket så langt, tilskriver vi 3CX forsyningskjedeangrepet til Lazarus-gruppen med et høyt nivå av selvtillit. Dette er basert på følgende faktorer:
- Skadelig programvare (inntrengningssettet):
- The IconicLoader (samcli.dll) bruker samme type sterk kryptering – AES-GCM – som SimplexTea (hvis attribusjon til Lazarus ble etablert via likheten med BALLCALL for Linux); bare nøklene og initialiseringsvektorene er forskjellige.
- Basert på PE Rich Headers, både IconicLoader (samcli.dll) og IconicStealer (sechost.dll) er prosjekter av lignende størrelse og kompilert i det samme Visual Studio-miljøet som de kjørbare filene iertutil.dll (sha-1: 5B03294B72C0CAA5FB20E7817002C600645EB475) Og iertutil.dll (sha-1: 7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC) rapportert i Lazarus kryptovaluta-kampanjer av Voleksitet og Microsoft. Vi inkluderer YARA-regelen nedenfor RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023, som flagger alle disse prøvene, og ingen irrelaterte skadelige eller rene filer, som testet på gjeldende ESET-databaser og nylige VirusTotal-innsendinger.
- SimplexTea nyttelast laster inn konfigurasjonen på en veldig lik måte som SIMPLESEA malware fra 3CX offisielle hendelsesrespons. XOR-tasten er forskjellig (0x5E vs 0x7E), men konfigurasjonen har samme navn: apdl.jf (se figur 8).
- infrastruktur:
- Det er delt nettverksinfrastruktur med SimplexTea, som den bruker https://journalide[.]org/djour.php som det C&C, hvis domene er rapportert i offisielle resultater av hendelsesresponsen til 3CX-kompromisset av Mandiant.
konklusjonen
3CX-kompromisset har fått mye oppmerksomhet fra sikkerhetsmiljøet siden det ble offentliggjort 29. marsth. Denne kompromitterte programvaren, distribuert på ulike IT-infrastrukturer, som tillater nedlasting og kjøring av alle typer nyttelast, kan ha ødeleggende konsekvenser. Dessverre er ingen programvareutgiver immun mot å bli kompromittert og utilsiktet distribuere trojaniserte versjoner av applikasjonene sine.
Snikheten til et forsyningskjedeangrep gjør denne metoden for distribusjon av skadelig programvare veldig tiltalende fra en angripers perspektiv. Lasarus har allerede brukt denne teknikken tidligere rettet mot sørkoreanske brukere av WIZVERA VeraPort-programvare i 2020. Likheter med eksisterende skadelig programvare fra Lazarus-verktøysettet og med gruppens typiske teknikker tyder sterkt på at det nylige 3CX-kompromisset også er Lazarus' verk.
Det er også interessant å merke seg at Lazarus kan produsere og bruke skadelig programvare for alle store stasjonære operativsystemer: Windows, macOS og Linux. Både Windows- og macOS-systemer ble målrettet under 3CX-hendelsen, med 3CXs VoIP-programvare for begge operativsystemene som ble trojanisert for å inkludere ondsinnet kode for å hente vilkårlige nyttelaster. Når det gjelder 3CX, eksisterer både Windows- og macOS andre-trinns malware-versjoner. Denne artikkelen demonstrerer eksistensen av en Linux-bakdør som sannsynligvis tilsvarer SIMPLESEA macOS-malwaren som ble sett i 3CX-hendelsen. Vi kalte denne Linux-komponenten SimplexTea og viste at den er en del av Operation DreamJob, Lazarus flaggskipkampanje som bruker jobbtilbud for å lokke og kompromittere intetanende ofre.
ESET Research tilbyr private APT-etterretningsrapporter og datafeeder. For eventuelle spørsmål om denne tjenesten, besøk ESET Threat Intelligence side.
IoCs
Filer
SHA-1 | filnavn | ESET-deteksjonsnavn | Beskrivelse |
---|---|---|---|
0CA1723AFE261CD85B05C9EF424FC50290DCE7DF | guiconfigd | Linux/NukeSped.E | SimplexTea for Linux. |
3A63477A078CE10E53DFB5639E35D74F93CEFA81 | HSBC_job_offer․pdf | Linux/NukeSped.E | OdicLoader, en 64-biters nedlaster for Linux, skrevet i Go. |
9D8BADE2030C93D0A010AA57B90915EB7D99EC82 | HSBC_job_offer.pdf.zip | Linux/NukeSped.E | Et ZIP-arkiv med en Linux-nyttelast, fra VirusTotal. |
F6760FB1F8B019AF2304EA6410001B63A1809F1D | sysnetd | Linux/NukeSped.G | BADCALL for Linux. |
Først sett | 2023-03-20 12:00:35 |
---|---|
MD5 | CEDB9CDBAD254F60CFB215B9BFF84FB9 |
SHA-1 | 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF |
SHA-256 | EEBB01932DE0B5605DD460CC82844D8693C00EA8AB5FFDF8DBEDE6528C1C18FD |
filnavn | guiconfigd |
Beskrivelse | SimplexTea for Linux. |
C&C | https://journalide[.]org/djour.php |
Lastet ned fra | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
Gjenkjenning | Linux/NukeSped.E |
PE kompilering tidsstempel | N / A |
Først sett | 2023-03-16 07:44:18 |
---|---|
MD5 | 3CF7232E5185109321921046D039CF10 |
SHA-1 | 3A63477A078CE10E53DFB5639E35D74F93CEFA81 |
SHA-256 | 492A643BD1EFDACA4CA125ADE1B606E7BBF00E995AC9115AC84D1C4C59CB66DD |
filnavn | HSBC_job_offer․pdf |
Beskrivelse | OdicLoader, en 64-biters nedlaster for Linux, i Go. |
C&C | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
Lastet ned fra | N / A |
Gjenkjenning | Linux/NukeSped.E |
PE kompilering tidsstempel | N / A |
Først sett | 2023-03-20 02:23:29 |
---|---|
MD5 | FC41CB8425B6432AF8403959BB59430D |
SHA-1 | 9D8BADE2030C93D0A010AA57B90915EB7D99EC82 |
SHA-256 | F638E5A20114019AD066DD0E856F97FD865798D8FBED1766662D970BEFF652CA |
filnavn | HSBC_job_offer.pdf.zip |
Beskrivelse | Et ZIP-arkiv med en Linux-nyttelast, fra VirusTotal. |
C&C | N / A |
Lastet ned fra | N / A |
Gjenkjenning | Linux/NukeSped.E |
PE kompilering tidsstempel | N / A |
Først sett | 2023-02-01 23:47:05 |
---|---|
MD5 | AAC5A52B939F3FE792726A13FF7A1747 |
SHA-1 | F6760FB1F8B019AF2304EA6410001B63A1809F1D |
SHA-256 | CC307CFB401D1AE616445E78B610AB72E1C7FB49B298EA003DD26EA80372089A |
filnavn | sysnetd |
Beskrivelse | BADCALL for Linux. |
C&C | tcp://23.254.211[.]230 |
Lastet ned fra | N / A |
Gjenkjenning | Linux/NukeSped.G |
PE kompilering tidsstempel | N / A |
Network
IP-adresse | Domene | Hosting-leverandør | Først sett | Detaljer |
---|---|---|---|---|
23.254.211[.]230 | N / A | Hostwinds LLC. | N / A | C&C-server for BADCALL for Linux |
38.108.185[.]79 38.108.185[.]115 |
od[.]lk | Cogent Communications | 2023-03-16 | Ekstern OpenDrive-lagring som inneholder SimplexTea (/d/NTJfMzg4MDE1NzJf/vxmedia) |
172.93.201[.]88 | journalide[.]org | Nexeon Technologies, Inc. | 2023-03-29 | C&C-server for SimplexTea (/djour.php) |
MITRE ATT&CK-teknikker
taktikk | ID | Navn | Beskrivelse |
---|---|---|---|
Rekognosering | T1593.001 | Søk på åpne nettsteder/domener: Sosiale medier | Lazarus-angripere nærmet seg sannsynligvis et mål med et falskt HSBC-tema jobbtilbud som ville passe målets interesse. Dette har for det meste blitt gjort via LinkedIn tidligere. |
Ressursutvikling | T1584.001 | Anskaffe infrastruktur: domener | I motsetning til mange tidligere tilfeller av kompromitterte C&C-er brukt i Operation DreamJob, registrerte Lazarus-operatører sitt eget domene for Linux-målet. |
T1587.001 | Utvikle evner: Skadelig programvare | Egendefinerte verktøy fra angrepet er sannsynligvis utviklet av angriperne. | |
T1585.003 | Etabler kontoer: Skykontoer | Angriperne var vertskap for siste fasen på skytjenesten OpenDrive. | |
T1608.001 | Stageegenskaper: Last opp skadelig programvare | Angriperne var vertskap for siste fasen på skytjenesten OpenDrive. | |
Gjennomføring | T1204.002 | Brukerutførelse: Skadelig fil | OdicLoader maskerer seg som en PDF-fil for å lure målet. |
Innledende tilgang | T1566.002 | Phishing: Spearphishing Link | Målet mottok sannsynligvis en kobling til tredjeparts ekstern lagring med et ondsinnet ZIP-arkiv, som senere ble sendt til VirusTotal. |
Utholdenhet | T1546.004 | Hendelsesutløst utførelse: Unix Shell Configuration Modification | OdicLoader modifiserer offerets Bash-profil, slik at SimplexTea lanseres hver gang Bash blir stirret og utgangen er dempet. |
Forsvarsunndragelse | T1134.002 | Access Token Manipulation: Lag prosess med Token | SimplexTea kan opprette en ny prosess, hvis instruert av sin C&C-server. |
T1140 | Deobfuscate / Decode filer eller informasjon | SimplexTea lagrer konfigurasjonen i en kryptert apdl.jf. | |
T1027.009 | Tilslørede filer eller informasjon: Innebygde nyttelaster | Dropperne til alle ondsinnede kjeder inneholder en innebygd datamatrise med et ekstra trinn. | |
T1562.003 | Impair Defense: Impair Command History Logging | OdicLoader modifiserer offerets Bash-profil, slik at utdata og feilmeldinger fra SimplexTea blir dempet. SimplexTea utfører nye prosesser med samme teknikk. | |
T1070.004 | Indikatorfjerning: Filsletting | SimplexTea har muligheten til å slette filer sikkert. | |
T1497.003 | Virtualisering/Sandbox Evasion: Time Based Evasion | SimplexTea implementerer flere tilpassede søvnforsinkelser i utførelsen. | |
Discovery | T1083 | Fil- og katalogoppdagelse | SimplexTea kan vise kataloginnholdet sammen med navn, størrelser og tidsstempler (som etterligner ls-la kommando). |
Command and Control | T1071.001 | Application Layer Protocol: Webprotokoller | SimplexTea kan bruke HTTP og HTTPS for kommunikasjon med sin C&C-server, ved å bruke et statisk koblet Curl-bibliotek. |
T1573.001 | Kryptert kanal: symmetrisk kryptografi | SimplexTea krypterer C&C-trafikk ved hjelp av AES-GCM-algoritmen. | |
T1132.001 | Datakoding: Standardkoding | SimplexTea koder C&C-trafikk ved hjelp av base64. | |
T1090 | Proxy | SimplexTea kan bruke en proxy for kommunikasjon. | |
exfiltration | T1041 | Eksfiltrering over C2-kanal | SimplexTea kan eksfiltrere data som ZIP-arkiver til sin C&C-server. |
Vedlegg
Denne YARA-regelen flagger klyngen som inneholder både IconicLoader og IconicStealer, samt nyttelastene som er distribuert i kryptovalutakampanjene fra desember 2022.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
/* The following rule will only work with YARA version >= 3.11.0 */ import “pe” rule RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023 { meta: description = ” Rich Headers-based rule covering the IconicLoader and IconicStealer from the 3CX supply chain incident, and also payloads from the cryptocurrency campaigns from 2022-12″ author = “ESET Research” date = “2023-03-31” hash = “3B88CDA62CDD918B62EF5AA8C5A73A46F176D18B” hash = “CAD1120D91B812ACAFEF7175F949DD1B09C6C21A” hash = “5B03294B72C0CAA5FB20E7817002C600645EB475” hash = “7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC” condition: pe.rich_signature.toolid(259, 30818) == 9 and pe.rich_signature.toolid(256, 31329) == 1 and pe.rich_signature.toolid(261, 30818) >= 30 and pe.rich_signature.toolid(261, 30818) <= 38 and pe.rich_signature.toolid(261, 29395) >= 134 and pe.rich_signature.toolid(261, 29395) <= 164 and pe.rich_signature.toolid(257, 29395) >= 6 and pe.rich_signature.toolid(257, 29395) <= 14 } |
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
- Minting the Future med Adryenn Ashley. Tilgang her.
- kilde: https://www.welivesecurity.com/2023/04/20/linux-malware-strengthens-links-lazarus-3cx-supply-chain-attack/
- : har
- :er
- :ikke
- $OPP
- 000
- 000 kunder
- 1
- 11
- 20
- 2014
- 2020
- 2021
- 2022
- 2023
- 39
- 7
- 8
- 9
- a
- evne
- I stand
- Om oss
- ovenfor
- Ifølge
- Logg inn
- kontoer
- aktivitet
- aktører
- la til
- Ytterligere
- Aerospace
- påvirker
- mot
- algoritme
- Alle
- tillater
- sammen
- allerede
- også
- blant
- an
- analytikere
- og
- En annen
- noen
- app
- tilsynelatende
- tiltrekkende
- Søknad
- søknader
- nærmer seg
- April
- APT
- Arkiv
- ER
- Argentina
- Array
- Artikkel
- artikler
- AS
- At
- angripe
- Angrep
- oppmerksomhet
- August
- Autentisering
- forfatter
- tilbake
- backdoor
- Bakdører
- backing
- dårlig
- basert
- bash
- BE
- Bears
- fordi
- vært
- før du
- Begynnelsen
- bak
- være
- tro
- under
- mellom
- både
- Brasil
- nett~~POS=TRUNC leseren~~POS=HEADCOMP
- by
- C + +
- ring
- som heter
- Kampanje
- Kampanjer
- CAN
- kan ikke
- evner
- saken
- saker
- Årsak
- kjede
- kjeder
- Kanal
- karakter
- chiffer
- CISO
- hevder
- klasse
- kunde
- Cloud
- sky lagring
- Cluster
- kode
- laget
- COM
- Felles
- Kommunikasjon
- kommunikasjon
- samfunnet
- Selskaper
- Selskapet
- Selskapets
- sammenligning
- Fullfører
- komplekse
- komponent
- kompromiss
- kompromittert
- tilstand
- gjennomført
- selvtillit
- Konfigurasjon
- Bekrefte
- tilkoblet
- tilkobling
- kontakt
- inneholde
- inneholder
- innhold
- bidra
- tilsvarer
- underbygge
- kunne
- land
- dekket
- dekker
- skape
- opprettet
- cryptocurrency
- Gjeldende
- I dag
- skikk
- Kunder
- dato
- databaser
- Dato
- datoer
- Dager
- død
- Desember
- besluttet
- Misligholde
- Defenders
- Forsvar
- forsinkelser
- leverer
- demonstrert
- demonstrerer
- utplassert
- distribusjon
- dybde
- beskrivelse
- desktop
- detalj
- Gjenkjenning
- Bestem
- bestemmes
- ødeleggende
- utviklet
- Utvikler
- gJORDE
- avvike
- direkte
- direkte
- avsløring
- oppdaget
- Funnet
- skjermer
- distribuere
- distribueres
- distribusjon
- distribusjon
- dokument
- domene
- domener
- DOT
- nedlasting
- nedlastinger
- drevet
- Drop
- Drops
- dubbet
- under
- hver enkelt
- Tidlig
- innebygd
- aktivert
- kryptert
- kryptering
- ingeniør
- Ingeniørarbeid
- Entertainment
- Miljø
- feil
- ESET Research
- etablert
- Selv
- hendelser
- bevis
- Utfører
- gjennomføring
- eksisterende
- Forklar
- forklarte
- forlengelse
- utvendig
- trekke ut
- faktorer
- forfalskning
- Februar
- Hentet
- Noen få
- Figur
- filet
- Filer
- slutt~~POS=TRUNC
- Først
- passer
- flagg
- flaggskip
- fulgt
- etter
- Til
- skjema
- format
- funnet
- fra
- foran
- fullt
- funksjon
- Georgia
- få
- GitHub
- gitt
- Go
- Gruppe
- Gruppens
- Gjest
- hash
- Ha
- he
- overskrifter
- Overskrifter
- helsetjenester
- hjelpe
- hjulpet
- Gjemme seg
- Høy
- Fremhevet
- historie
- gjestfrihet
- vert
- Hvordan
- Men
- HSBC
- HTML
- http
- HTTPS
- identiske
- Konsekvenser
- gjennomføring
- redskaper
- importere
- in
- hendelse
- hendelsesrespons
- inkludere
- Inkludert
- industri
- beryktet
- informasjon
- Infrastruktur
- infrastruktur
- i utgangspunktet
- forespørsler
- installerte
- i stedet
- Intel
- Intelligens
- interesse
- interessant
- internasjonalt
- inn
- undersøke
- etterforskning
- involvert
- IT
- DET ER
- selv
- Januar
- Jobb
- JOE
- Juli
- Kaspersky
- nøkkel
- nøkler
- Type
- kunnskap
- Koreansk
- Siste
- I fjor
- Late
- lansert
- lag
- Lazarus
- Lazarus-gruppen
- leder
- ledere
- Nivå
- Bibliotek
- Sannsynlig
- LINK
- knyttet
- lenker
- linux
- Liste
- LLC
- loader
- lasting
- laster
- Lang
- Se
- Lot
- maskin
- maskiner
- MacOS
- laget
- større
- GJØR AT
- malware
- leder
- Manipulasjon
- mange
- kart
- Mars
- max bredde
- Kan..
- nevnt
- meldinger
- Meta
- metadata
- metode
- Microsoft
- kunne
- Militær
- Mobil
- Mobilapp
- mer
- mest
- flere
- mystisk
- navn
- oppkalt
- nemlig
- navn
- innfødt
- Ingen
- nettverk
- Ny
- neste
- nord
- notorisk
- of
- tilby
- Tilbud
- offisiell
- on
- ONE
- pågående
- bare
- åpen
- åpning
- drift
- operativsystemer
- drift
- operatører
- or
- rekkefølge
- organisasjoner
- original
- Annen
- vår
- produksjon
- enn
- egen
- P&E
- side
- Papir
- del
- Past
- perspektiv
- telefon
- Bilder
- planlagt
- Plattformer
- plato
- Platon Data Intelligence
- PlatonData
- vær så snill
- trekkes
- tilstedeværelse
- forrige
- tidligere
- Før
- privat
- sannsynligvis
- prosess
- Prosesser
- produsere
- Profil
- prosjekter
- protokollen
- gi
- forutsatt
- gir
- gi
- proxy
- offentlig
- offentlig
- publisert
- utgiver
- raskt
- heller
- realisert
- oppsummering
- mottatt
- nylig
- nylig
- registrert
- i slekt
- forholdet
- fjernkontroll
- fjerning
- rapporterer
- rapportert
- Rapporter
- representere
- representert
- forskning
- forsker
- forskere
- svar
- Avslørt
- Rich
- Rolle
- Romania
- Regel
- Kjør
- rennende
- samme
- sekunder
- Seksjon
- sektorer
- sikkert
- sikkerhet
- Serien
- Servere
- tjeneste
- Tjenester
- sett
- flere
- delt
- Shell
- Viser
- signert
- signifikant
- lignende
- likheter
- siden
- enkelt
- Størrelse
- størrelser
- sove
- So
- så langt
- selskap
- Sosialteknikk
- Software
- noen
- noe
- Sony
- Sør
- Sør Korea
- spesifikk
- Scene
- stadier
- Standard
- startet
- Stater
- Trinn
- lagring
- lagret
- butikker
- stream
- Forsterke
- Styrker
- sterk
- sterk
- studio
- Innsendinger
- innsendt
- betydelig
- foreslår
- levere
- forsyningskjeden
- symbol
- syntaks
- system
- Systemer
- bord
- Target
- målrettet
- rettet mot
- mål
- Teknisk
- teknikker
- Technologies
- enn
- Det
- De
- deres
- Dem
- seg
- Disse
- tredjeparts
- denne
- trussel
- trusselaktører
- tre
- Gjennom
- tid
- tidslinje
- typen
- til
- sammen
- token
- verktøy
- verktøy
- trafikk
- behandling
- utløst
- typisk
- typografi
- unix
- Oppdater
- oppdatert
- URL
- us
- bruke
- brukt
- Bruker
- Brukere
- bruke
- variant
- ulike
- leverandør
- versjon
- av
- Offer
- ofre
- virtuelle
- virtuell maskin
- Besøk
- VMware
- vs
- Wardle
- var
- Vei..
- we
- web
- nettleser
- Nettsted
- uker
- VI VIL
- var
- Hva
- om
- hvilken
- bred
- Wikipedia
- vil
- vinduer
- med
- Arbeid
- ville
- vikle
- skrevet
- år
- zephyrnet
- Zip