Podobieństwa z nowo odkrytym złośliwym oprogramowaniem dla systemu Linux wykorzystywanym w operacji DreamJob potwierdzają teorię, że niesławna grupa powiązana z Koreą Północną stoi za atakiem na łańcuch dostaw 3CX
Badacze firmy ESET odkryli nową kampanię Lazarus Operation DreamJob skierowaną do użytkowników systemu Linux. Operacja DreamJob to nazwa serii kampanii, w których grupa wykorzystuje techniki inżynierii społecznej, aby narazić swoje cele na fałszywe oferty pracy jako przynętę. W tym przypadku byliśmy w stanie zrekonstruować cały łańcuch, od pliku ZIP, który zawiera fałszywą ofertę pracy HSBC jako przynętę, aż do ostatecznego ładunku: backdoora SimplexTea Linux dystrybuowanego za pośrednictwem OpenDrive konto do przechowywania w chmurze. Zgodnie z naszą wiedzą jest to pierwsza publiczna wzmianka o tym głównym ugrupowaniu cyberprzestępczym powiązanym z Koreą Północną, wykorzystującym złośliwe oprogramowanie dla systemu Linux w ramach tej operacji.
Ponadto odkrycie to pomogło nam potwierdzić z dużą dozą pewności, że niedawny atak na łańcuch dostaw 3CX został w rzeczywistości przeprowadzony przez Lazarus – powiązanie, które było podejrzewane od samego początku i zostało od tego czasu wykazane przez kilku badaczy bezpieczeństwa. W tym poście na blogu potwierdzamy te ustalenia i przedstawiamy dodatkowe dowody dotyczące związku między Lazarusem a atakiem na łańcuch dostaw 3CX.
Atak na łańcuch dostaw 3CX
3CX jest międzynarodowym producentem i dystrybutorem oprogramowania VoIP, świadczącym usługi systemów telefonicznych dla wielu organizacji. Według swojej strony internetowej 3CX ma ponad 600,000 12,000,000 klientów i 2023 3 3 użytkowników w różnych sektorach, w tym w lotnictwie, służbie zdrowia i hotelarstwie. Dostarcza oprogramowanie klienckie do korzystania z jej systemów za pośrednictwem przeglądarki internetowej, aplikacji mobilnej lub aplikacji komputerowej. Pod koniec marca 3 r. odkryto, że aplikacja komputerowa zarówno dla systemu Windows, jak i macOS zawiera złośliwy kod, który umożliwia grupie atakujących pobranie i uruchomienie dowolnego kodu na wszystkich komputerach, na których aplikacja została zainstalowana. Szybko ustalono, że ten złośliwy kod nie został dodany przez firmę XNUMXCX, ale że firma XNUMXCX została naruszona, a jej oprogramowanie zostało wykorzystane w ataku na łańcuch dostaw, kierowanym przez zewnętrzne cyberprzestępcy w celu dystrybucji dodatkowego złośliwego oprogramowania do określonych klientów XNUMXCX.
Ten cyberincydent trafił na pierwsze strony gazet w ostatnich dniach. Pierwotnie ogłoszono 29 marcath, 2023 w a Reddit wątek przez inżyniera CrowdStrike, a następnie oficjalny raport autorstwa CrowdStrike, stwierdzając z dużym przekonaniem, że LABIRINT CHOLLIMA, kryptonim firmy Lazarus, stał za atakiem (ale pomijając wszelkie dowody potwierdzające twierdzenie). Ze względu na powagę incydentu wiele firm zajmujących się bezpieczeństwem zaczęło udostępniać swoje streszczenia wydarzeń, a mianowicie Sophos, Check Point, Broadcom, Trend MicroI więcej.
Co więcej, część ataku mającego wpływ na systemy z systemem macOS została szczegółowo omówiona w a Twitter wątek i post na blogu przez Patricka Wardle'a.
Oś czasu wydarzeń
Harmonogram pokazuje, że sprawcy zaplanowali ataki na długo przed egzekucją; już w grudniu 2022 r. Sugeruje to, że pod koniec ubiegłego roku mieli już przyczółek w sieci 3CX.
Podczas gdy trojanizowana aplikacja 3CX macOS pokazuje, że została podpisana pod koniec stycznia, nie widzieliśmy złej aplikacji w naszej telemetrii aż do 14 lutegoth, 2023. Nie jest jasne, czy złośliwa aktualizacja dla systemu macOS była dystrybuowana przed tą datą.
Chociaż dane telemetryczne firmy ESET już w lutym wskazywały na istnienie ładunku drugiego stopnia systemu macOS, nie dysponowaliśmy samą próbką ani metadanymi, które mogłyby nas ostrzec o jej złośliwości. Dołączamy te informacje, aby pomóc obrońcom określić, jak daleko wstecz systemy mogły zostać naruszone.
Kilka dni przed publicznym ujawnieniem ataku tajemniczy program do pobierania Linuksa został przesłany do VirusTotal. Pobiera nowy złośliwy ładunek Lazarus dla systemu Linux, a jego związek z atakiem wyjaśniamy w dalszej części tekstu.
Przypisanie ataku na łańcuch dostaw 3CX firmie Lazarus
Co zostało już opublikowane
Istnieje jedna domena, która odgrywa znaczącą rolę w naszym rozumowaniu atrybucji: dziennik[.]org. Wspomina się o nim w niektórych raportach dostawców, do których prowadzą linki powyżej, ale jego obecność nigdy nie została wyjaśniona. Co ciekawe, artykuły ks Strażnik Jeden i CelZobacz nie wspominaj o tej domenie. Ani wpis na blogu autorstwa Voleksja, który nawet powstrzymał się od podania źródła, stwierdzając „Volexity nie może obecnie zmapować ujawnionej aktywności do żadnego aktora zagrażającego”. Jej analitycy byli jednymi z pierwszych, którzy dogłębnie zbadali atak i stworzyli narzędzie do wyodrębniania listy serwerów C&C z zaszyfrowanych ikon na GitHub. To narzędzie jest przydatne, ponieważ napastnicy nie osadzili serwerów C&C bezpośrednio na etapach pośrednich, ale raczej wykorzystali GitHub jako narzędzie do rozwiązywania problemów typu dead drop. Etapy pośrednie to programy do pobierania dla systemów Windows i macOS, które określamy jako IconicLoaders, a pobierane przez nie ładunki to odpowiednio IconicStealer i UpdateAgent.
W marcu 30th, Joe Desimone, badacz bezpieczeństwa z Elastyczne bezpieczeństwo, był jednym z pierwszych, który dostarczył, w Twitter wątku, istotne wskazówki, że kompromisy oparte na 3CX są prawdopodobnie powiązane z Lazarusem. Zauważył, że do ładunku z programu dodano kod pośredniczący d3dcompiler_47.dll jest podobny do kodów ładujących AppleJeus przypisywanych Lazarusowi przez CISA już w kwietniu 2021.
W marcu 31st to było jest zgłaszane że firma 3CX zatrudniła firmę Mandiant w celu świadczenia usług reagowania na incydenty związane z atakiem na łańcuch dostaw.
W kwietniu 3rd, Kaspersky, poprzez swoją telemetrię, wykazał bezpośredni związek między ofiarami łańcucha dostaw 3CX a wdrożeniem backdoora nazwanego Gopuram, przy czym oba obejmują ładunki o wspólnej nazwie, Guard64.dll. Dane Kaspersky pokazują, że Gopuram jest połączony z Lazarusem, ponieważ współistniał na komputerach ofiar Jabłko Jezus, złośliwe oprogramowanie, które zostało już przypisane Lazarusowi. Zarówno Gopuram, jak i AppleJeus byli obserwowani w atakach na firmę kryptowalutową.
Następnie 11 kwietnia brth, CISO z 3CX podsumował tymczasowe ustalenia Mandianta w a post na blogu. Według tego raportu dwie próbki złośliwego oprogramowania dla systemu Windows, moduł ładujący kod powłoki o nazwie TAXHAUL i złożony program do pobierania o nazwie COLDCAT, były zaangażowane w atak na 3CX. Nie podano skrótów, ale reguła YARA firmy Mandiant, nazwana TAXHAUL, uruchamia się również na innych próbkach znajdujących się już w VirusTotal:
- SHA-1: 2ACC6F1D4656978F4D503929B8C804530D7E7CF6 (ualapi.dll),
- SHA-1: DCEF83D8EE080B54DC54759C59F955E73D67AA65 (wlbsctrl.dll)
Nazwy plików, ale nie MD5, tych próbek pokrywają się z tymi z wpisu na blogu firmy Kaspersky. Jednak 3CX wyraźnie stwierdza, że COLDCAT różni się od Gopuram.
Następna sekcja zawiera opis techniczny nowego złośliwego ładunku Lazarus dla Linuksa, który niedawno przeanalizowaliśmy, a także sposób, w jaki pomógł nam on wzmocnić istniejące powiązanie między Lazarusem a kompromisem 3CX.
Operacja DreamJob z ładunkiem Linuksa
Operacja DreamJob grupy Lazarus polega na zbliżaniu się do celów za pośrednictwem LinkedIn i kuszeniu ich ofertami pracy od liderów branży. Nazwa została ukuta przez ClearSky w papier opublikowany w sierpniu 2020 r. Dokument ten opisuje kampanię cyberszpiegowską Lazarus wymierzoną w firmy obronne i lotnicze. Działania te pokrywają się z tym, co nazywamy Operacją In(ter)cepcja, serią ataków cyberszpiegowskich, które trwają od co najmniej Wrzesień 2019. Jego celem są firmy lotnicze, wojskowe i obronne oraz wykorzystuje określone złośliwe narzędzia, początkowo tylko dla systemu Windows. W lipcu i sierpniu 2022 r. wykryliśmy dwa przypadki operacji In(ter)ception skierowanej na system macOS. Jedna próbka złośliwego oprogramowania została przesłana do VirusTotal z Brazylii, a celem innego ataku był użytkownik ESET w Argentynie. Kilka tygodni temu na VirusTotal znaleziono natywny ładunek Linuksa z przynętą PDF o tematyce HSBC. To uzupełnia zdolność Lazarus do kierowania na wszystkie główne systemy operacyjne dla komputerów stacjonarnych.
W marcu 20th, użytkownik z Gruzji przesłał do VirusTotal archiwum ZIP o nazwie Oferta pracy w HSBC.pdf.zip. Biorąc pod uwagę inne kampanie DreamJob prowadzone przez Lazarusa, ten ładunek prawdopodobnie był dystrybuowany za pośrednictwem spearphishingu lub bezpośrednich wiadomości na LinkedIn. Archiwum zawiera pojedynczy plik: natywny 64-bitowy plik binarny Intel Linux napisany w Go i nazwany Oferta pracy w HSBC․pdf.
Co ciekawe, rozszerzenie pliku nie . Pdf. Dzieje się tak, ponieważ pozorną kropką w nazwie pliku jest a kropka lidera reprezentowany przez znak Unicode U+2024. Użycie kropki prowadzącej w nazwie pliku było prawdopodobnie próbą nakłonienia menedżera plików do traktowania pliku jako pliku wykonywalnego zamiast pliku PDF. Może to spowodować uruchomienie pliku po dwukrotnym kliknięciu zamiast otwierania go w przeglądarce plików PDF. Po wykonaniu, użytkownikowi zostanie wyświetlony wabik PDF xdg-open, co spowoduje otwarcie dokumentu w preferowanej przez użytkownika przeglądarce plików PDF (patrz rysunek 3). Zdecydowaliśmy się nazwać ten downloader ELF OdicLoader, ponieważ pełni on podobną rolę jak IconicLoaders na innych platformach, a ładunek jest pobierany z OpenDrive.
OdicLoader upuszcza wabiący dokument PDF, wyświetla go za pomocą domyślnej systemowej przeglądarki plików PDF (patrz rysunek 2), a następnie pobiera backdoora drugiego stopnia z OpenDrive usługa chmury. Pobrany plik jest przechowywany w ~/.config/guiconfigd (SHA-1: 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF). Nazywamy to backdoorem drugiego stopnia SimplexTea.
Jako ostatni krok jego wykonania modyfikuje OdicLoader ~ / .bash_profile, więc SimplexTea jest uruchamiany z Bashem, a jego wyjście jest wyciszone (~/.config/guiconfigd >/dev/null 2>&1).
SimplexTea to backdoor dla Linuksa napisany w C++. Jak podkreślono w tabeli 1, nazwy jej klas są bardzo podobne do nazw funkcji znalezionych w próbce, z nazwą pliku sysnetd, przesłane do VirusTotal z Rumunii (SHA-1: F6760FB1F8B019AF2304EA6410001B63A1809F1D). Ze względu na podobieństwa w nazwach klas i nazwach funkcji między SimplexTea i sysnetd, uważamy, że SimplexTea to zaktualizowana wersja, przepisana z C na C++.
Tabela 1. Porównanie oryginalnych nazw symboli z dwóch backdoorów Linuksa przesłanych do VirusTotal
guiconfigd |
sysnetd |
CMsgCmd::Start(pusty) | MSG_Cmd |
CmsgZabezpieczaćZ::Start(pusty) | MSG_Del |
CMsgDir::Start(pusty) | MSG_Dir |
CWiadomość w dół::Start(pusty) | MSG_W dół |
CMsgWyjście::Start(pusty) | MSG_Wyjście |
CMsgReadConfig::Start(pusty) | MSG_ReadConfig |
CMsgRun::Start(pusty) | MSG_Uruchom |
CMsgSetPath::Start(pusty) | MSG_SetPath |
CWiadomośćUśnij::Start(pusty) | MSG_Sen |
CTest wiadomości::Start(pusty) | Test MSG |
CWiadomość::Start(pusty) | MSG_Up |
CMsgWriteConfig::Start(pusty) | Konfiguracja MSG_WriteConfig |
MSG_GetComInfo | |
CMsgHibernate::Start(pusty) | |
CMsgKeepCon::Start(pusty) | |
CMsgZipDown::Start(pusty) | |
CMsgZip::StartZip(void *) | |
CMsgZip::Start(pusty) | |
CHttpWrapper::RecvData(uchar *&,uint *,uint,signed char) | |
Odp.wiadom | |
CHttpWrapper::Wyślij wiadomość(_MSG_STRUCT *) | Wyślij wiadomość |
CHttpWrapper::SendData(uchar *,uint,uint) | |
CHttpWrapper::SendMsg(uint,uint,uchar *,uint,uint) | |
CHttpWrapper::SendLoginData(uchar *,uint,uchar *&,uint *) |
Jak jest sysnetd związany z Łazarzem? W poniższej sekcji przedstawiono podobieństwa do backdoora Lazarusa dla systemu Windows o nazwie BADCALL.
BADCALL dla systemu Linux
Przypisujemy sysnetd do Łazarza ze względu na podobieństwa z następującymi dwoma plikami (i wierzymy, że sysnetd to linuksowy wariant backdoora grupy dla Windows o nazwie BADCALL):
- P2P_DLL.dll (SHA-1: 65122E5129FC74D6B5EBAFCC3376ABAE0145BC14), który pokazuje podobieństwa kodu do sysnetd w postaci domen wykorzystywanych jako przykrywka dla fałszywego połączenia TLS (patrz rysunek 4). Został on przypisany Łazarzowi przez CISA w r Grudzień 2017, Od Wrzesień 2019, CISA zaczęła nazywać nowsze wersje tego szkodliwego oprogramowania BADCALL (SHA-1: D288766FA268BC2534F85FD06A5D52264E646C47).
- Prtspool (SHA-1: 58B0516D28BD7218B1908FB266B8FE7582E22A5F), który pokazuje podobieństwa kodu do sysnetd (patrz rysunek 5). Został on przypisany Łazarzowi przez CISA w lutym 2021 r. Należy również zauważyć, że SIMPLESEA, backdoor macOS znaleziony podczas odpowiedzi na incydent 3CX, implementuje A5 / 1 szyfr strumieniowy.
Ta linuksowa wersja backdoora BADCALL, sysnetd, ładuje swoją konfigurację z pliku o nazwie /tmp/vgauthsvclog. Ponieważ operatorzy Lazarusa wcześniej ukrywali swoje ładunki, użycie tej nazwy, która jest używana przez usługę VMware Guest Authentication, sugeruje, że docelowym systemem może być maszyna wirtualna Linux VMware. Co ciekawe, klucz XOR w tym przypadku jest taki sam jak w SIMPLESEA z dochodzenia 3CX.
Patrząc na trzy 32-bitowe liczby całkowite, 0xC2B45678, 0x90ABCDEF, 0xFE268455 z rysunku 5, który przedstawia klucz do niestandardowej implementacji szyfru A5/1, zdaliśmy sobie sprawę, że ten sam algorytm i identyczne klucze były używane w złośliwym oprogramowaniu dla systemu Windows, którego historia sięga końca 2014 roku i była zaangażowana w jeden z najbardziej osławione sprawy Lazarusa: cybersabotaż firmy Sony Pictures Entertainment (SHA-1: 1C66E67A8531E3FF1C64AE57E6EDFDE7BEF2352D).
Dodatkowe punkty danych atrybucji
Podsumowując to, co omówiliśmy do tej pory, z dużym prawdopodobieństwem przypisujemy atak na łańcuch dostaw 3CX grupie Lazarus. Jest to oparte na następujących czynnikach:
- Złośliwe oprogramowanie (zestaw włamań):
- IconicLoader (samcli.dll) używa tego samego rodzaju silnego szyfrowania – AES-GCM – co SimplexTea (którego przypisanie do Lazarusa zostało ustalone na podstawie podobieństwa z BALLCALL dla Linuksa); różnią się tylko klucze i wektory inicjujące.
- W oparciu o bogate nagłówki PE, zarówno IconicLoader (samcli.dll) i IconicStealer (sehost.dll) to projekty o podobnym rozmiarze i skompilowane w tym samym środowisku Visual Studio co pliki wykonywalne iertutil.dll (SHA-1: 5B03294B72C0CAA5FB20E7817002C600645EB475) i iertutil.dll (SHA-1: 7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC) zgłoszone w kampaniach kryptowalutowych Lazarus przez Voleksja i Microsoft. Poniżej zamieszczamy regułę YARA RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023, który oznacza flagą wszystkie te próbki, bez niepowiązanych złośliwych lub czystych plików, zgodnie z testami na bieżących bazach danych ESET i ostatnich zgłoszeniach VirusTotal.
- Ładunek SimplexTea ładuje swoją konfigurację w bardzo podobny sposób do szkodliwego oprogramowania SIMPLESEA z oficjalnej odpowiedzi na incydent 3CX. Klucz XOR różni się (0x5E vs 0x7E), ale konfiguracja nosi tę samą nazwę: apdl.cf (patrz rysunek 8).
- Infrastruktura:
- Istnieje współdzielona infrastruktura sieciowa z SimplexTea, ponieważ jest używana https://journalide[.]org/djour.php jak to C&C, którego domena jest zgłoszona w oficjalne wyniki odpowiedzi na incydent związany z kompromisem 3CX firmy Mandiant.
Wnioski
Kompromis 3CX zyskał wiele uwagi społeczności zajmującej się bezpieczeństwem od czasu jego ujawnienia 29 marcath. To skompromitowane oprogramowanie, wdrożone w różnych infrastrukturach IT, które umożliwia pobieranie i wykonywanie dowolnego ładunku, może mieć niszczycielskie skutki. Niestety, żaden wydawca oprogramowania nie jest odporny na ataki i nieumyślne rozpowszechnianie wersji swoich aplikacji zawierających trojany.
Podstępność ataku na łańcuch dostaw sprawia, że ta metoda dystrybucji złośliwego oprogramowania jest bardzo atrakcyjna z punktu widzenia atakującego. Łazarz już skorzystał ta technika w przeszłości, atakując południowokoreańskich użytkowników oprogramowania WIZVERA VeraPort w 2020 r. Podobieństwa do istniejącego złośliwego oprogramowania z zestawu narzędzi Lazarus oraz do typowych technik grupy zdecydowanie sugerują, że niedawne włamanie 3CX jest również dziełem Lazarusa.
Warto również zauważyć, że Lazarus może tworzyć i wykorzystywać złośliwe oprogramowanie dla wszystkich głównych systemów operacyjnych dla komputerów stacjonarnych: Windows, macOS i Linux. Celem incydentu 3CX były zarówno systemy Windows, jak i macOS, a oprogramowanie VoIP firmy 3CX dla obu systemów operacyjnych zostało poddane trojanizacji w celu uwzględnienia złośliwego kodu w celu pobrania dowolnych ładunków. W przypadku 3CX istnieją wersje drugiego etapu złośliwego oprogramowania dla systemów Windows i macOS. Ten artykuł demonstruje istnienie backdoora dla Linuksa, który prawdopodobnie odpowiada złośliwemu oprogramowaniu SIMPLESEA macOS obserwowanemu w incydencie 3CX. Nazwaliśmy ten komponent Linuksa SimplexTea i pokazaliśmy, że jest on częścią operacji DreamJob, flagowej kampanii Lazarusa wykorzystującej oferty pracy w celu zwabienia i skompromitowania niczego niepodejrzewających ofiar.
ESET Research oferuje prywatne raporty analityczne APT i strumienie danych. W przypadku jakichkolwiek pytań dotyczących tej usługi odwiedź stronę Analiza zagrożeń firmy ESET strona.
IoC
Akta
SHA-1 | Nazwa pliku | Nazwa wykrywania ESET | Opis |
---|---|---|---|
0CA1723AFE261CD85B05C9EF424FC50290DCE7DF | guiconfigd | Linux/NukeSped.E | SimplexTea dla Linuksa. |
3A63477A078CE10E53DFB5639E35D74F93CEFA81 | HSBC_oferta_pracy․pdf | Linux/NukeSped.E | OdicLoader, 64-bitowy downloader dla systemu Linux, napisany w Go. |
9D8BADE2030C93D0A010AA57B90915EB7D99EC82 | HSBC_oferta_pracy.pdf.zip | Linux/NukeSped.E | Archiwum ZIP z ładunkiem Linuksa, z VirusTotal. |
F6760FB1F8B019AF2304EA6410001B63A1809F1D | sysnetd | Linux/NukeSped.G | BADCALL dla systemu Linux. |
Pierwszy widziany | 2023-03-20 12:00:35 |
---|---|
MD5 | CEDB9CDBAD254F60CFB215B9BFF84FB9 |
SHA-1 | 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF |
SHA-256 | EEBB01932DE0B5605DD460CC82844D8693C00EA8AB5FFDF8DBEDE6528C1C18FD |
Nazwa pliku | guiconfigd |
Opis | SimplexTea dla Linuksa. |
C&C | https://journalide[.]org/djour.php |
Pobrać z | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
Wykrywanie | Linux/NukeSped.E |
Sygnatura czasowa kompilacji PE | N / A |
Pierwszy widziany | 2023-03-16 07:44:18 |
---|---|
MD5 | 3CF7232E5185109321921046D039CF10 |
SHA-1 | 3A63477A078CE10E53DFB5639E35D74F93CEFA81 |
SHA-256 | 492A643BD1EFDACA4CA125ADE1B606E7BBF00E995AC9115AC84D1C4C59CB66DD |
Nazwa pliku | HSBC_oferta_pracy․pdf |
Opis | OdicLoader, 64-bitowy downloader dla systemu Linux, w Go. |
C&C | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
Pobrać z | N / A |
Wykrywanie | Linux/NukeSped.E |
Sygnatura czasowa kompilacji PE | N / A |
Pierwszy widziany | 2023-03-20 02:23:29 |
---|---|
MD5 | FC41CB8425B6432AF8403959BB59430D |
SHA-1 | 9D8BADE2030C93D0A010AA57B90915EB7D99EC82 |
SHA-256 | F638E5A20114019AD066DD0E856F97FD865798D8FBED1766662D970BEFF652CA |
Nazwa pliku | HSBC_oferta_pracy.pdf.zip |
Opis | Archiwum ZIP z ładunkiem Linuksa, z VirusTotal. |
C&C | N / A |
Pobrać z | N / A |
Wykrywanie | Linux/NukeSped.E |
Sygnatura czasowa kompilacji PE | N / A |
Pierwszy widziany | 2023-02-01 23:47:05 |
---|---|
MD5 | AAC5A52B939F3FE792726A13FF7A1747 |
SHA-1 | F6760FB1F8B019AF2304EA6410001B63A1809F1D |
SHA-256 | CC307CFB401D1AE616445E78B610AB72E1C7FB49B298EA003DD26EA80372089A |
Nazwa pliku | sysnetd |
Opis | BADCALL dla systemu Linux. |
C&C | TCP://23.254.211[.]230 |
Pobrać z | N / A |
Wykrywanie | Linux/NukeSped.G |
Sygnatura czasowa kompilacji PE | N / A |
Sieć
adres IP | Domena | Dostawca usług hostingowych | Pierwszy widziany | Szczegóły |
---|---|---|---|---|
23.254.211[.]230 | N / A | Hostwinds spółka z ograniczoną odpowiedzialnością | N / A | Serwer C&C dla BADCALL dla systemu Linux |
38.108.185[.]79 38.108.185[.]115 |
od[.]lk | Przekonująca komunikacja | 2023-03-16 | Zdalna pamięć OpenDrive zawierająca SimplexTea (/d/NTJfMzg4MDE1NzJf/vxmedia) |
172.93.201[.]88 | dziennik[.]org | Nexeon Technologies, Inc. | 2023-03-29 | Serwer C&C dla SimplexTea (/djour.php) |
Techniki SKOŚNE ATT&CK
Taktyka | ID | Imię | Opis |
---|---|---|---|
Rozpoznawczy | T1593.001 | Przeszukaj otwarte strony internetowe/domeny: media społecznościowe | Atakujący Lazarus prawdopodobnie zwrócili się do celu z fałszywą ofertą pracy o tematyce HSBC, która pasowałaby do zainteresowań celu. W przeszłości odbywało się to głównie za pośrednictwem LinkedIn. |
Rozwój zasobów | T1584.001 | Zdobądź infrastrukturę: domeny | W przeciwieństwie do wielu poprzednich przypadków zhakowanych C&C używanych w operacji DreamJob, operatorzy Lazarus zarejestrowali własną domenę dla celu Linux. |
T1587.001 | Rozwijanie możliwości: złośliwe oprogramowanie | Niestandardowe narzędzia z ataku są najprawdopodobniej tworzone przez osoby atakujące. | |
T1585.003 | Załóż konta: konta w chmurze | Atakujący zorganizowali ostatni etap w usłudze chmurowej OpenDrive. | |
T1608.001 | Możliwości Stage: Prześlij złośliwe oprogramowanie | Atakujący zorganizowali ostatni etap w usłudze chmurowej OpenDrive. | |
Egzekucja | T1204.002 | Wykonanie użytkownika: Złośliwy plik | OdicLoader udaje plik PDF, aby oszukać cel. |
Wstępny dostęp | T1566.002 | Phishing: Link do phishingu spearphishingowego | Cel prawdopodobnie otrzymał łącze do zdalnego magazynu innej firmy ze złośliwym archiwum ZIP, które zostało później przesłane do VirusTotal. |
Uporczywość | T1546.004 | Wykonanie wyzwalane zdarzeniem: modyfikacja konfiguracji powłoki systemu Unix | OdicLoader modyfikuje profil Bash ofiary, więc SimplexTea jest uruchamiany za każdym razem, gdy Bash jest oglądany, a jego wyjście jest wyciszone. |
Unikanie obrony | T1134.002 | Manipulacja tokenem dostępu: tworzenie procesu za pomocą tokena | SimplexTea może utworzyć nowy proces, jeśli otrzyma polecenie od swojego serwera C&C. |
T1140 | Rozszyfruj/dekoduj pliki lub informacje | SimplexTea przechowuje swoją konfigurację w postaci zaszyfrowanej apdl.cf. | |
T1027.009 | Zaciemnione pliki lub informacje: osadzone ładunki | Droppery wszystkich złośliwych łańcuchów zawierają osadzoną tablicę danych z dodatkowym etapem. | |
T1562.003 | Osłabiaj obronę: Uszkodź rejestrowanie historii poleceń | OdicLoader modyfikuje profil Bash ofiary, więc komunikaty wyjściowe i komunikaty o błędach z SimplexTea są wyciszone. SimplexTea wykonuje nowe procesy tą samą techniką. | |
T1070.004 | Usuwanie wskaźnika: usuwanie plików | SimplexTea ma możliwość bezpiecznego usuwania plików. | |
T1497.003 | Unikanie wirtualizacji/piaskownicy: unikanie oparte na czasie | SimplexTea implementuje wiele niestandardowych opóźnień uśpienia w swoim wykonaniu. | |
odkrycie | T1083 | Wykrywanie plików i katalogów | SimplexTea może wyświetlać zawartość katalogu wraz z ich nazwami, rozmiarami i znacznikami czasu (naśladując ls -la dowództwo). |
Dowodzenia i kontroli | T1071.001 | Protokół warstwy aplikacji: protokoły internetowe | SimplexTea może używać HTTP i HTTPS do komunikacji ze swoim serwerem C&C, używając statycznie połączonej biblioteki Curl. |
T1573.001 | Szyfrowany kanał: kryptografia symetryczna | SimplexTea szyfruje ruch C&C przy użyciu algorytmu AES-GCM. | |
T1132.001 | Kodowanie danych: kodowanie standardowe | SimplexTea koduje ruch C&C przy użyciu base64. | |
T1090 | pełnomocnik | SimplexTea może wykorzystywać proxy do komunikacji. | |
Exfiltracja | T1041 | Eksfiltracja przez kanał C2 | SimplexTea może eksfiltrować dane jako archiwa ZIP na swój serwer C&C. |
dodatek
Ta reguła YARA oznacza klaster zawierający zarówno IconicLoader, jak i IconicStealer, a także ładunki wdrożone w kampaniach kryptowalutowych od grudnia 2022 r.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
/* The following rule will only work with YARA version >= 3.11.0 */ import “pe” rule RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023 { meta: description = ” Rich Headers-based rule covering the IconicLoader and IconicStealer from the 3CX supply chain incident, and also payloads from the cryptocurrency campaigns from 2022-12″ author = “ESET Research” date = “2023-03-31” hash = “3B88CDA62CDD918B62EF5AA8C5A73A46F176D18B” hash = “CAD1120D91B812ACAFEF7175F949DD1B09C6C21A” hash = “5B03294B72C0CAA5FB20E7817002C600645EB475” hash = “7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC” condition: pe.rich_signature.toolid(259, 30818) == 9 and pe.rich_signature.toolid(256, 31329) == 1 and pe.rich_signature.toolid(261, 30818) >= 30 and pe.rich_signature.toolid(261, 30818) <= 38 and pe.rich_signature.toolid(261, 29395) >= 134 and pe.rich_signature.toolid(261, 29395) <= 164 and pe.rich_signature.toolid(257, 29395) >= 6 and pe.rich_signature.toolid(257, 29395) <= 14 } |
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Wybijanie przyszłości w Adryenn Ashley. Dostęp tutaj.
- Źródło: https://www.welivesecurity.com/2023/04/20/linux-malware-strengthens-links-lazarus-3cx-supply-chain-attack/
- :ma
- :Jest
- :nie
- $W GÓRĘ
- 000
- Klienci 000
- 1
- 11
- 20
- 2014
- 2020
- 2021
- 2022
- 2023
- 39
- 7
- 8
- 9
- a
- zdolność
- Zdolny
- O nas
- powyżej
- Stosownie
- Konto
- Konta
- działalność
- aktorzy
- w dodatku
- Dodatkowy
- Lotnictwo
- wpływający
- przed
- algorytm
- Wszystkie kategorie
- pozwala
- wzdłuż
- już
- również
- wśród
- an
- analitycy
- i
- Inne
- każdy
- Aplikacja
- pozorny
- pociągający
- Zastosowanie
- aplikacje
- zbliżający się
- kwiecień
- APT
- Archiwum
- SĄ
- Argentyna
- Szyk
- artykuł
- towary
- AS
- At
- atakować
- Ataki
- Uwaga
- Sierpnia
- Uwierzytelnianie
- autor
- z powrotem
- tylne drzwi
- Backdoory
- poparcie
- Łazienka
- na podstawie
- bash
- BE
- Niedźwiedzie
- bo
- być
- zanim
- Początek
- za
- jest
- uwierzyć
- poniżej
- pomiędzy
- obie
- Brazylia
- przeglądarka
- by
- C + +
- wezwanie
- nazywa
- Kampania
- Kampanie
- CAN
- nie może
- możliwości
- walizka
- Etui
- Spowodować
- łańcuch
- więzy
- Kanał
- charakter
- szyfr
- CISO
- roszczenie
- klasa
- klient
- Chmura
- przechowywanie w chmurze
- Grupa
- kod
- wymyślony
- COM
- wspólny
- Komunikacja
- Komunikacja
- społeczność
- Firmy
- sukcesy firma
- Firma
- porównanie
- Ukończył
- kompleks
- składnik
- kompromis
- Zagrożone
- warunek
- przeprowadzone
- pewność siebie
- systemu
- Potwierdzać
- połączony
- połączenie
- skontaktuj się
- zawierać
- zawiera
- zawartość
- przyczynić się
- odpowiada
- potwierdzać
- mógłby
- kraj
- pokryty
- pokrycie
- Stwórz
- stworzony
- kryptowaluta
- Aktualny
- Obecnie
- zwyczaj
- Klientów
- dane
- Bazy danych
- Data
- Daty
- Dni
- martwy
- grudzień
- postanowiła
- Domyślnie
- obrońcy
- Obrona
- opóźnienia
- dostarcza
- wykazać
- demonstruje
- wdrażane
- Wdrożenie
- głębokość
- opis
- stacjonarny
- detal
- Wykrywanie
- Ustalać
- ustalona
- niszczycielski
- rozwinięty
- Deweloper
- ZROBIŁ
- różnić się
- kierować
- bezpośrednio
- ujawnienie
- odkryty
- odkrycie
- wyświetlacze
- rozprowadzać
- dystrybuowane
- rozdzielczy
- 分配
- dokument
- domena
- domeny
- DOT
- pobieranie
- pliki do pobrania
- napędzany
- Spadek
- Krople
- dubbingowane
- podczas
- każdy
- Wcześnie
- osadzone
- włączony
- szyfrowane
- szyfrowanie
- inżynier
- Inżynieria
- rozrywka
- Środowisko
- błąd
- Badania ESET
- ustanowiony
- Parzyste
- wydarzenia
- dowód
- Wykonuje
- egzekucja
- Przede wszystkim system został opracowany
- Wyjaśniać
- wyjaśnione
- rozbudowa
- zewnętrzny
- wyciąg
- Czynniki
- imitacja
- luty
- Pobrano
- kilka
- Postać
- filet
- Akta
- finał
- i terminów, a
- dopasować
- Flagi
- flagowy
- następnie
- następujący
- W razie zamówieenia projektu
- Nasz formularz
- format
- znaleziono
- od
- z przodu
- pełny
- funkcjonować
- otrzymać
- GitHub
- dany
- Go
- Zarządzanie
- Grupy
- Gość
- haszysz
- Have
- he
- headers
- Nagłówki
- opieki zdrowotnej
- pomoc
- pomógł
- Ukryj
- Wysoki
- Podświetlony
- historia
- gościnność
- hostowane
- W jaki sposób
- Jednak
- HSBC
- HTML
- http
- HTTPS
- identiques
- Oddziaływania
- realizacja
- narzędzia
- importować
- in
- incydent
- reakcja na incydent
- zawierać
- Włącznie z
- przemysł
- niesławny
- Informacja
- Infrastruktura
- infrastruktura
- początkowo
- Zapytania
- zainstalowany
- zamiast
- Intel
- Inteligencja
- odsetki
- ciekawy
- na świecie
- najnowszych
- badać
- śledztwo
- zaangażowany
- IT
- JEGO
- samo
- styczeń
- Praca
- JOE
- lipiec
- Kaspersky
- Klawisz
- Klawisze
- Uprzejmy
- wiedza
- koreański
- Nazwisko
- Ostatni rok
- Późno
- uruchomiona
- warstwa
- Łazarz
- Grupa Lazarus
- lider
- Przywódcy
- poziom
- Biblioteka
- Prawdopodobnie
- LINK
- powiązany
- linki
- linux
- Lista
- LLC
- ładowarka
- załadunek
- masa
- długo
- Popatrz
- Partia
- maszyna
- maszyny
- MacOS
- zrobiony
- poważny
- WYKONUJE
- malware
- kierownik
- Manipulacja
- wiele
- mapa
- March
- Maksymalna szerokość
- Może..
- wzmiankowany
- wiadomości
- Meta
- Metadane
- metoda
- Microsoft
- może
- Wojsko
- Aplikacje mobilne
- Aplikacja mobilna
- jeszcze
- większość
- wielokrotność
- tajemniczy
- Nazwa
- O imieniu
- mianowicie
- Nazwy
- rodzimy
- Ani
- sieć
- Nowości
- Następny
- Północ
- notoryczny
- of
- oferta
- Oferty
- urzędnik
- on
- ONE
- trwający
- tylko
- koncepcja
- otwarcie
- operacyjny
- system operacyjny
- działanie
- operatorzy
- or
- zamówienie
- organizacji
- oryginalny
- Inne
- ludzkiej,
- wydajność
- koniec
- własny
- P&E
- strona
- Papier
- część
- Przeszłość
- perspektywa
- telefon
- Zdjęcia
- planowany
- Platformy
- plato
- Analiza danych Platona
- PlatoDane
- Proszę
- Korzystny
- obecność
- poprzedni
- poprzednio
- Wcześniejszy
- prywatny
- prawdopodobnie
- wygląda tak
- procesów
- produkować
- Profil
- projektowanie
- protokół
- zapewniać
- pod warunkiem,
- zapewnia
- że
- pełnomocnik
- publiczny
- publicznie
- opublikowany
- wydawca
- szybko
- raczej
- realizowany
- podsumować
- Odebrane
- niedawny
- niedawno
- zarejestrowany
- związane z
- związek
- zdalny
- usuwanie
- raport
- Zgłoszone
- Raporty
- reprezentować
- reprezentowane
- Badania naukowe
- badacz
- Badacze
- odpowiedź
- Ujawnił
- Bogaty
- Rola
- Rumunia
- Zasada
- run
- bieganie
- taki sam
- sekund
- Sekcja
- Sektory
- bezpiecznie
- bezpieczeństwo
- Serie
- Serwery
- usługa
- Usługi
- zestaw
- kilka
- shared
- Powłoka
- Targi
- podpisana
- znaczący
- podobny
- podobieństwa
- ponieważ
- pojedynczy
- Rozmiar
- rozmiary
- spać
- So
- dotychczas
- Obserwuj Nas
- Inżynieria społeczna
- Tworzenie
- kilka
- coś
- Sony
- Południe
- Korea Południowa
- specyficzny
- STAGE
- etapy
- standard
- rozpoczęty
- Zjednoczone
- Ewolucja krok po kroku
- przechowywanie
- przechowywany
- sklep
- strumień
- Wzmacniać
- Wzmacnia
- silny
- strongly
- studio
- Zgłoszenia
- składane
- znaczny
- Wskazuje
- Dostawa
- łańcuch dostaw
- symbol
- składnia
- system
- systemy
- stół
- cel
- ukierunkowane
- kierowania
- cele
- Techniczny
- Techniki
- Technologies
- niż
- że
- Połączenia
- ich
- Im
- sami
- Te
- innych firm
- to
- groźba
- podmioty grożące
- trzy
- Przez
- czas
- Oś czasu
- typ
- do
- razem
- żeton
- narzędzie
- narzędzia
- ruch drogowy
- leczenia
- rozsierdzony
- typowy
- typografia
- UNIX
- Aktualizacja
- zaktualizowane
- URL
- us
- posługiwać się
- używany
- Użytkownik
- Użytkownicy
- wykorzystać
- Wariant
- różnorodny
- sprzedawca
- wersja
- przez
- Ofiara
- Ofiary
- Wirtualny
- Maszyna wirtualna
- Odwiedzić
- vmware
- vs
- Wardle
- była
- Droga..
- we
- sieć
- przeglądarka internetowa
- Strona internetowa
- tygodni
- DOBRZE
- były
- Co
- czy
- który
- szeroki
- Wikipedia
- będzie
- okna
- w
- Praca
- by
- owinąć
- napisany
- rok
- zefirnet
- Zamek błyskawiczny