As semelhanças com o recém-descoberto malware Linux usado na Operação DreamJob corroboram a teoria de que o infame grupo alinhado à Coreia do Norte está por trás do ataque à cadeia de suprimentos 3CX
Os pesquisadores da ESET descobriram uma nova campanha Lazarus Operation DreamJob voltada para usuários do Linux. Operação DreamJob é o nome de uma série de campanhas em que o grupo usa técnicas de engenharia social para comprometer seus alvos, com falsas ofertas de emprego como isca. Nesse caso, conseguimos reconstruir toda a cadeia, desde o arquivo ZIP que entrega uma falsa oferta de emprego do HSBC como isca, até o payload final: o backdoor SimplexTea Linux distribuído por meio de um OpenDrive conta de armazenamento em nuvem. Pelo que sabemos, esta é a primeira menção pública a esse importante agente de ameaças alinhado à Coreia do Norte usando malware Linux como parte dessa operação.
Além disso, essa descoberta nos ajudou a confirmar com alto nível de confiança que o recente ataque à cadeia de suprimentos 3CX foi de fato conduzido pelo Lazarus – um link que era suspeito desde o início e demonstrado por vários pesquisadores de segurança desde então. Nesta postagem do blog, corroboramos essas descobertas e fornecemos evidências adicionais sobre a conexão entre o Lazarus e o ataque à cadeia de suprimentos 3CX.
O ataque à cadeia de suprimentos 3CX
A 3CX é uma desenvolvedora e distribuidora internacional de software VoIP que fornece serviços de sistema telefônico para muitas organizações. De acordo com seu site, a 3CX tem mais de 600,000 clientes e 12,000,000 de usuários em vários setores, incluindo aeroespacial, saúde e hotelaria. Ele fornece software cliente para usar seus sistemas por meio de um navegador da Web, aplicativo móvel ou aplicativo de desktop. No final de março de 2023, foi descoberto que o aplicativo de desktop para Windows e macOS continha código malicioso que permitia que um grupo de invasores baixasse e executasse código arbitrário em todas as máquinas em que o aplicativo estava instalado. Rapidamente, foi determinado que esse código malicioso não era algo que a 3CX adicionou, mas que a 3CX foi comprometida e que seu software foi usado em um ataque à cadeia de suprimentos conduzido por agentes externos de ameaças para distribuir malware adicional para clientes específicos da 3CX.
Este incidente cibernético ganhou as manchetes nos últimos dias. Relatado inicialmente em 29 de marçoth, 2023 em um Reddit thread por um engenheiro CrowdStrike, seguido por um relatório oficial por CrowdStrike, afirmando com grande confiança que LABIRINTH CHOLLIMA, o codinome da empresa para Lazarus, estava por trás do ataque (mas omitindo qualquer evidência que respalde a afirmação). Devido à gravidade do incidente, várias empresas de segurança começaram a contribuir com os seus resumos dos eventos, nomeadamente Sophos, Check Point, Broadcom, Trend MicroE muito mais.
Além disso, a parte do ataque que afeta os sistemas que executam o macOS foi abordada em detalhes em um Twitter fio e um blogpost por Patrick Wardle.
Linha do tempo de eventos
A linha do tempo mostra que os perpetradores planejaram os ataques muito antes da execução; já em dezembro de 2022. Isso sugere que eles já tinham uma posição dentro da rede 3CX no final do ano passado.
Embora o aplicativo 3CX macOS trojanizado mostre que foi assinado no final de janeiro, não vimos o aplicativo ruim em nossa telemetria até 14 de fevereiroth, 2023. Não está claro se a atualização maliciosa para macOS foi distribuída antes dessa data.
Embora a telemetria da ESET mostre a existência da carga útil de segundo estágio do macOS já em fevereiro, não tínhamos a amostra em si, nem metadados para nos alertar sobre sua malícia. Incluímos essas informações para ajudar os defensores a determinar até que ponto os sistemas anteriores podem ter sido comprometidos.
Vários dias antes do ataque ser revelado publicamente, um misterioso downloader do Linux foi submetido ao VirusTotal. Ele baixa uma nova carga maliciosa do Lazarus para Linux e explicamos sua relação com o ataque posteriormente no texto.
Atribuição do ataque da cadeia de suprimentos 3CX a Lazarus
O que já está publicado
Há um domínio que desempenha um papel significativo em nosso raciocínio de atribuição: jornalide[.]org. É mencionado em alguns dos relatórios de fornecedores vinculados acima, mas sua presença nunca é explicada. Curiosamente, artigos de Sentinela Um e ObjetivoVer não mencione este domínio. Nem um post de blog de Volexidade, que até se absteve de fornecer a atribuição, afirmando “No momento, a Volexity não pode mapear a atividade divulgada para nenhum agente de ameaça”. Seus analistas foram os primeiros a investigar o ataque em profundidade e criaram uma ferramenta para extrair uma lista de servidores C&C de ícones criptografados no GitHub. Essa ferramenta é útil, pois os invasores não incorporaram os servidores C&C diretamente nos estágios intermediários, mas usaram o GitHub como um resolvedor de dead drop. Os estágios intermediários são downloaders para Windows e macOS que denotamos como IconicLoaders, e as cargas que eles obtêm como IconicStealer e UpdateAgent, respectivamente.
Em março de 30th, Joe Desimone, pesquisador de segurança da Segurança Elástica, foi um dos primeiros a fornecer, de forma Twitter thread, pistas substanciais de que os compromissos conduzidos pelo 3CX provavelmente estão ligados ao Lazarus. Ele observou que um stub shellcode anexado à carga de d3dcompiler_47.dll é semelhante aos stubs do carregador AppleJeus atribuídos a Lazarus por CISA de volta em abril 2021.
Em março de 31st foi ser relatado que a 3CX contratou a Mandiant para fornecer serviços de resposta a incidentes relacionados ao ataque à cadeia de suprimentos.
Em abril de 3rd, Kaspersky, por meio de sua telemetria, mostrou uma relação direta entre as vítimas da cadeia de suprimentos 3CX e a implantação de um backdoor apelidado de Gopuram, ambos envolvendo cargas úteis com um nome comum, guard64.dll. Os dados da Kaspersky mostram que o Gopuram está conectado ao Lazarus porque coexistiu nas máquinas das vítimas ao lado Apple Jeus, malware que já foi atribuído ao Lazarus. Tanto Gopuram quanto AppleJeus foram observados em ataques contra uma empresa de criptomoedas.
Então, em 11 de abrilth, o CISO da 3CX resumiu as descobertas provisórias da Mandiant em um blogpost. De acordo com esse relatório, duas amostras de malware do Windows, um shellcode loader chamado TAXHAUL e um downloader complexo chamado COLDCAT, estavam envolvidos no comprometimento do 3CX. Nenhum hashe foi fornecido, mas a regra YARA da Mandiant, chamada TAXHAUL, também dispara em outras amostras já no VirusTotal:
- SHA-1: 2ACC6F1D4656978F4D503929B8C804530D7E7CF6 (ualapi.dll),
- SHA-1: DCEF83D8EE080B54DC54759C59F955E73D67AA65 (wlbsctrl.dll)
Os nomes de arquivo, mas não MD5s, dessas amostras coincidem com os da postagem do blog da Kaspersky. No entanto, 3CX afirma explicitamente que COLDCAT difere de Gopuram.
A próxima seção contém uma descrição técnica da nova carga maliciosa do Linux Lazarus que analisamos recentemente, bem como nos ajudou a fortalecer o vínculo existente entre o Lazarus e o comprometimento 3CX.
Operação DreamJob com uma carga Linux
A Operação DreamJob do grupo Lazarus envolve abordar alvos por meio do LinkedIn e tentá-los com ofertas de emprego de líderes do setor. O nome foi cunhado pela ClearSky em um papel publicado em agosto de 2020. Esse artigo descreve uma campanha de ciberespionagem da Lazarus voltada para empresas aeroespaciais e de defesa. A atividade se sobrepõe ao que chamamos de Operação In(ter)ception, uma série de ataques de ciberespionagem que ocorrem desde pelo menos Setembro de 2019. Ele tem como alvo empresas aeroespaciais, militares e de defesa e usa ferramentas maliciosas específicas, inicialmente apenas para Windows. Durante julho e agosto de 2022, encontramos duas instâncias da Operação In(ter)ception visando o macOS. Uma amostra de malware foi enviada para VirusTotal do Brasil, e outro ataque teve como alvo um usuário da ESET na Argentina. Algumas semanas atrás, uma carga útil nativa do Linux foi encontrada no VirusTotal com uma isca de PDF com tema do HSBC. Isso completa a capacidade do Lazarus de atingir todos os principais sistemas operacionais de desktop.
Em março de 20th, um usuário no país da Geórgia enviou ao VirusTotal um arquivo ZIP chamado Oferta de emprego HSBC.pdf.zip. Dadas outras campanhas DreamJob da Lazarus, essa carga útil provavelmente foi distribuída por meio de spearphishing ou mensagens diretas no LinkedIn. O arquivo contém um único arquivo: um binário nativo do Intel Linux de 64 bits escrito em Go e nomeado Oferta de emprego HSBC․pdf.
Curiosamente, a extensão do arquivo não é .pdf. Isso ocorre porque o caractere de ponto aparente no nome do arquivo é um ponto líder representado pelo caractere U+2024 Unicode. O uso do ponto inicial no nome do arquivo provavelmente foi uma tentativa de induzir o gerenciador de arquivos a tratar o arquivo como um executável em vez de um PDF. Isso pode fazer com que o arquivo seja executado quando clicado duas vezes, em vez de abri-lo com um visualizador de PDF. Na execução, um PDF chamariz é exibido para o usuário usando xdg-open, que abrirá o documento usando o visualizador de PDF preferido do usuário (consulte a Figura 3). Decidimos chamar esse downloader ELF de OdicLoader, pois ele tem uma função semelhante aos IconicLoaders em outras plataformas e a carga útil é obtida do OpenDrive.
O OdicLoader descarta um documento PDF falso, exibe-o usando o visualizador de PDF padrão do sistema (consulte a Figura 2) e baixa um backdoor de segundo estágio do OpenDrive serviço na nuvem. O arquivo baixado é armazenado em ~/.config/guiconfigd (SHA-1: 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF). Chamamos esse backdoor de segundo estágio de SimplexTea.
Como última etapa de sua execução, o OdicLoader modifica ~ / .bash_profile, então SimplexTea é iniciado com Bash e sua saída é silenciada (~/.config/guiconfigd >/dev/null 2>&1).
SimplexTea é um backdoor do Linux escrito em C++. Conforme destacado na Tabela 1, seus nomes de classe são muito semelhantes aos nomes de função encontrados em uma amostra, com nome de arquivo sysnetd, submetido ao VirusTotal da Romênia (SHA-1: F6760FB1F8B019AF2304EA6410001B63A1809F1D). Devido às semelhanças nos nomes de classe e nomes de função entre SimplexTea e sysnetd, acreditamos que SimplexTea é uma versão atualizada, reescrita de C para C++.
Tabela 1. Comparação dos nomes dos símbolos originais de dois backdoors do Linux enviados ao VirusTotal
guiconfigd |
sysnetd |
CMensagemCmd::Iniciar(vazio) | MSG_Cmd |
CMsgConfieDel::Iniciar(vazio) | MSG_Del |
CMsgDir::Iniciar(vazio) | MSG_Dir |
CMensagem para baixo::Iniciar(vazio) | MSG_Down |
CMensagem de saída::Iniciar(vazio) | MSG_Sair |
CMsgReadConfig::Iniciar(vazio) | MSG_ReadConfig |
CMsgRun::Iniciar(vazio) | MSG_Executar |
CMsgSetPath::Iniciar(vazio) | MSG_SetPath |
CMsgSono::Iniciar(vazio) | MSG_Sono |
CTeste de mensagem::Iniciar(vazio) | MSG_Teste |
CMensagem para cima::Iniciar(vazio) | MSG_Up |
CMsgWriteConfig::Iniciar(vazio) | MSG_WriteConfig |
MSG_GetComInfo | |
CMsgHibernate::Start(void) | |
CMsgKeepCon::Start(void) | |
CMsgZipDown::Start(void) | |
CMsgZip::StartZip(void *) | |
CMsgZip::Iniciar(void) | |
CHttpWrapper::RecvData(uchar *&,uint *,uint,signed char) | |
RecvMsg | |
CHttpWrapper::Enviar mensagem(_MSG_STRUCT*) | Enviar mensagem |
CHttpWrapper::SendData(uchar *,uint,uint) | |
CHttpWrapper::SendMsg(uint,uint,uchar *,uint,uint) | |
CHttpWrapper::SendLoginData(uchar *,uint,uchar *&,uint *) |
Как е sysnetd Relacionado a Lázaro? A seção a seguir mostra semelhanças com o backdoor do Windows do Lazarus chamado BADCALL.
BADCALL para Linux
nós atribuímos sysnetd ao Lazarus por causa de suas semelhanças com os dois arquivos a seguir (e acreditamos que sysnetd é uma variante Linux do backdoor do grupo para Windows chamado BADCALL):
- P2P_DLL.dll (SHA-1: 65122E5129FC74D6B5EBAFCC3376ABAE0145BC14), que mostra semelhanças de código com sysnetd na forma de domínios usados como fachada para conexão TLS falsa (consulte a Figura 4). Foi atribuído a Lázaro pela CISA em Dezembro 2017. De Setembro de 2019, a CISA passou a chamar as versões mais recentes desse malware de BADCALL (SHA-1: D288766FA268BC2534F85FD06A5D52264E646C47).
- prtspool (SHA-1: 58B0516D28BD7218B1908FB266B8FE7582E22A5F), que mostra semelhanças de código com sysnetd (ver Figura 5). Foi atribuído a Lázaro por CISA em fevereiro de 2021. Observe também que SIMPLESEA, um backdoor do macOS encontrado durante a resposta ao incidente 3CX, implementa o A5 / 1 cifra de fluxo.
Esta versão Linux do backdoor BADCALL, sysnetd, carrega sua configuração de um arquivo chamado /tmp/vgauthsvclog. Como os operadores do Lazarus já disfarçaram suas cargas úteis, o uso desse nome, que é usado pelo serviço VMware Guest Authentication, sugere que o sistema de destino pode ser uma máquina virtual Linux VMware. Curiosamente, a chave XOR neste caso é a mesma usada no SIMPLESEA da investigação 3CX.
Dando uma olhada nos três inteiros de 32 bits, 0xC2B45678, 0x90ABCDEF e 0xFE268455 da Figura 5, que representa uma chave para uma implementação personalizada da cifra A5/1, percebemos que o mesmo algoritmo e as chaves idênticas foram usadas no malware do Windows que remonta ao final de 2014 e esteve envolvido em um dos mais casos notórios de Lázaro: a cibersabotagem da Sony Pictures Entertainment (SHA-1: 1C66E67A8531E3FF1C64AE57E6EDFDE7BEF2352D).
Pontos de dados de atribuição adicionais
Para recapitular o que cobrimos até agora, atribuímos o ataque à cadeia de suprimentos 3CX ao grupo Lazarus com um alto nível de confiança. Isso se baseia nos seguintes fatores:
- Malware (o conjunto de intrusões):
- O IconicLoader (samcli.dll) usa o mesmo tipo de criptografia forte – AES-GCM – do SimplexTea (cuja atribuição ao Lazarus foi estabelecida pela similaridade com BALLCALL para Linux); apenas as chaves e os vetores de inicialização diferem.
- Com base nos PE Rich Headers, ambos IconicLoader (samcli.dll) e IconicStealer (sechost.dll) são projetos de tamanho semelhante e compilados no mesmo ambiente do Visual Studio que os executáveis iertutil.dll (SHA-1: 5B03294B72C0CAA5FB20E7817002C600645EB475) e iertutil.dll (SHA-1: 7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC) relatado nas campanhas de criptomoeda Lazarus por Volexidade e Microsoft. Incluímos abaixo a regra YARA RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023, que sinaliza todas essas amostras e nenhum arquivo malicioso ou limpo não relacionado, conforme testado nos bancos de dados atuais da ESET e nos envios recentes do VirusTotal.
- A carga útil do SimplexTea carrega sua configuração de maneira muito semelhante ao malware SIMPLESEA da resposta oficial a incidentes da 3CX. A chave XOR difere (0x5E vs 0x7E), mas a configuração tem o mesmo nome: apdl.cf (veja a Figura 8).
- A Infraestrutura:
- Existe infraestrutura de rede compartilhada com SimplexTea, pois utiliza https://journalide[.]org/djour.php como ele C&C, cujo domínio é relatado no resultados oficiais da resposta ao incidente do compromisso 3CX da Mandiant.
Conclusão
O compromisso 3CX ganhou muita atenção da comunidade de segurança desde sua divulgação em 29 de março.th. Esse software comprometido, implantado em várias infraestruturas de TI, que permite o download e a execução de qualquer tipo de carga útil, pode ter impactos devastadores. Infelizmente, nenhum editor de software está imune a ser comprometido e distribuir inadvertidamente versões trojanizadas de seus aplicativos.
A furtividade de um ataque à cadeia de suprimentos torna esse método de distribuição de malware muito atraente do ponto de vista do invasor. Lázaro já usou essa técnica no passado, visando usuários sul-coreanos do software WIZVERA VeraPort em 2020. As semelhanças com o malware existente do conjunto de ferramentas Lazarus e com as técnicas típicas do grupo sugerem fortemente que o recente comprometimento do 3CX também é obra do Lazarus.
Também é interessante observar que o Lazarus pode produzir e usar malware para todos os principais sistemas operacionais de desktop: Windows, macOS e Linux. Os sistemas Windows e macOS foram visados durante o incidente 3CX, com o software VoIP da 3CX para ambos os sistemas operacionais sendo trojanizado para incluir código malicioso para buscar cargas arbitrárias. No caso do 3CX, existem versões de malware de segundo estágio para Windows e macOS. Este artigo demonstra a existência de um backdoor do Linux que provavelmente corresponde ao malware SIMPLESEA macOS visto no incidente 3CX. Chamamos esse componente do Linux de SimplexTea e mostramos que ele faz parte da Operação DreamJob, a principal campanha do Lazarus que usa ofertas de emprego para atrair e comprometer vítimas inocentes.
A ESET Research oferece relatórios privados de inteligência APT e feeds de dados. Para qualquer esclarecimento sobre este serviço, visite o Inteligência de ameaças ESET Disputas de Comerciais.
IoCs
Arquivos
SHA-1 | Nome do arquivo | Nome de detecção ESET | Descrição |
---|---|---|---|
0CA1723AFE261CD85B05C9EF424FC50290DCE7DF | guiconfigd | Linux/NukeSped.E | SimplexTea para Linux. |
3A63477A078CE10E53DFB5639E35D74F93CEFA81 | HSBC_job_offer․pdf | Linux/NukeSped.E | OdicLoader, um downloader de 64 bits para Linux, escrito em Go. |
9D8BADE2030C93D0A010AA57B90915EB7D99EC82 | HSBC_job_offer.pdf.zip | Linux/NukeSped.E | Um arquivo ZIP com uma carga Linux, do VirusTotal. |
F6760FB1F8B019AF2304EA6410001B63A1809F1D | sysnetd | Linux/NukeSped.G | BADCALL para Linux. |
Visto pela primeira vez | 2023-03-20 12:00:35 |
---|---|
MD5 | CEDB9CDBAD254F60CFB215B9BFF84FB9 |
SHA-1 | 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF |
SHA-256 | EEBB01932DE0B5605DD460CC82844D8693C00EA8AB5FFDF8DBEDE6528C1C18FD |
Nome do arquivo | guiconfigd |
Descrição | SimplexTea para Linux. |
C & C | https://journalide[.]org/djour.php |
baixado | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
Detecção | Linux/NukeSped.E |
carimbo de data/hora de compilação PE | N/D |
Visto pela primeira vez | 2023-03-16 07:44:18 |
---|---|
MD5 | 3CF7232E5185109321921046D039CF10 |
SHA-1 | 3A63477A078CE10E53DFB5639E35D74F93CEFA81 |
SHA-256 | 492A643BD1EFDACA4CA125ADE1B606E7BBF00E995AC9115AC84D1C4C59CB66DD |
Nome do arquivo | HSBC_job_offer․pdf |
Descrição | OdicLoader, um downloader de 64 bits para Linux, em Go. |
C & C | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
baixado | N/D |
Detecção | Linux/NukeSped.E |
carimbo de data/hora de compilação PE | N/D |
Visto pela primeira vez | 2023-03-20 02:23:29 |
---|---|
MD5 | FC41CB8425B6432AF8403959BB59430D |
SHA-1 | 9D8BADE2030C93D0A010AA57B90915EB7D99EC82 |
SHA-256 | F638E5A20114019AD066DD0E856F97FD865798D8FBED1766662D970BEFF652CA |
Nome do arquivo | HSBC_job_offer.pdf.zip |
Descrição | Um arquivo ZIP com uma carga Linux, do VirusTotal. |
C & C | N/D |
baixado | N/D |
Detecção | Linux/NukeSped.E |
carimbo de data/hora de compilação PE | N/D |
Visto pela primeira vez | 2023-02-01 23:47:05 |
---|---|
MD5 | AAC5A52B939F3FE792726A13FF7A1747 |
SHA-1 | F6760FB1F8B019AF2304EA6410001B63A1809F1D |
SHA-256 | CC307CFB401D1AE616445E78B610AB72E1C7FB49B298EA003DD26EA80372089A |
Nome do arquivo | sysnetd |
Descrição | BADCALL para Linux. |
C & C | tcp://23.254.211[.]230 |
baixado | N/D |
Detecção | Linux/NukeSped.G |
carimbo de data/hora de compilação PE | N/D |
Network
Endereço IP | Domínio | Provedor de hospedagem | Visto pela primeira vez | Adicionar ao carrinho |
---|---|---|---|---|
23.254.211[.]230 | N/D | Hostwinds LLC. | N/D | Servidor C&C para BADCALL para Linux |
38.108.185[.]79 38.108.185[.]115 |
od[.]lk | Comunicações Cogentes | 2023-03-16 | Armazenamento OpenDrive remoto contendo SimplexTea (/d/NTJfMzg4MDE1NzJf/vxmedia) |
172.93.201[.]88 | jornalide[.]org | Nexeon Technologies, Inc. | 2023-03-29 | Servidor C&C para SimplexTea (/djour.php) |
Técnicas MITER ATT e CK
Tática | ID | Nome | Descrição |
---|---|---|---|
Reconhecimento | T1593.001 | Pesquisar sites/domínios abertos: mídia social | Os invasores do Lazarus provavelmente abordaram um alvo com uma oferta de emprego falsa com o tema HSBC que atenderia aos interesses do alvo. Isso foi feito principalmente via LinkedIn no passado. |
Desenvolvimento de Recursos | T1584.001 | Adquirir infraestrutura: domínios | Ao contrário de muitos casos anteriores de C&Cs comprometidos usados na Operação DreamJob, os operadores do Lazarus registraram seu próprio domínio para o alvo Linux. |
T1587.001 | Desenvolver recursos: malware | As ferramentas personalizadas do ataque provavelmente são desenvolvidas pelos invasores. | |
T1585.003 | Estabelecer contas: contas na nuvem | Os invasores hospedaram o estágio final no serviço de nuvem OpenDrive. | |
T1608.001 | Recursos de palco: upload de malware | Os invasores hospedaram o estágio final no serviço de nuvem OpenDrive. | |
Execução | T1204.002 | Execução do usuário: arquivo malicioso | O OdicLoader se disfarça como um arquivo PDF para enganar o alvo. |
Acesso Inicial | T1566.002 | Phishing: Link de Spearphishing | O alvo provavelmente recebeu um link para armazenamento remoto de terceiros com um arquivo ZIP malicioso, que foi posteriormente enviado ao VirusTotal. |
Persistência | T1546.004 | Execução acionada por evento: modificação da configuração do Unix Shell | O OdicLoader modifica o perfil Bash da vítima, então SimplexTea é iniciado toda vez que Bash é iniciado e sua saída é silenciada. |
Evasão de Defesa | T1134.002 | Manipulação de token de acesso: criar processo com token | SimplexTea pode criar um novo processo, se instruído por seu servidor C&C. |
T1140 | Desofuscar / decodificar arquivos ou informações | SimplexTea armazena sua configuração em um arquivo criptografado apdl.cf. | |
T1027.009 | Arquivos ou informações ofuscados: cargas úteis incorporadas | Os conta-gotas de todas as cadeias maliciosas contêm uma matriz de dados incorporada com um estágio adicional. | |
T1562.003 | Prejudicar defesas: prejudicar o registro do histórico de comandos | O OdicLoader modifica o perfil Bash da vítima, de modo que a saída e as mensagens de erro do SimplexTea são silenciadas. SimplexTea executa novos processos com a mesma técnica. | |
T1070.004 | Remoção do Indicador: Exclusão de Arquivo | SimplexTea tem a capacidade de excluir arquivos com segurança. | |
T1497.003 | Evasão de virtualização/sandbox: Evasão baseada em tempo | SimplexTea implementa vários atrasos de suspensão personalizados em sua execução. | |
Discovery | T1083 | Descoberta de arquivos e diretórios | SimplexTea pode listar o conteúdo do diretório junto com seus nomes, tamanhos e timestamps (imitando o ls -la comando). |
Comando e controle | T1071.001 | Protocolo de camada de aplicativo: protocolos da Web | SimplexTea pode usar HTTP e HTTPS para comunicação com seu servidor C&C, usando uma biblioteca Curl vinculada estaticamente. |
T1573.001 | Canal criptografado: criptografia simétrica | SimplexTea criptografa o tráfego C&C usando o algoritmo AES-GCM. | |
T1132.001 | Codificação de Dados: Codificação Padrão | SimplexTea codifica tráfego C&C usando base64. | |
T1090 | procuração | SimplexTea pode utilizar um proxy para comunicações. | |
exfiltration | T1041 | Exfiltração no canal C2 | SimplexTea pode exfiltrar dados como arquivos ZIP para seu servidor C&C. |
Apêndice
Esta regra YARA sinaliza o cluster contendo IconicLoader e IconicStealer, bem como as cargas implantadas nas campanhas de criptomoedas a partir de dezembro de 2022.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
/* The following rule will only work with YARA version >= 3.11.0 */ import “pe” rule RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023 { meta: description = ” Rich Headers-based rule covering the IconicLoader and IconicStealer from the 3CX supply chain incident, and also payloads from the cryptocurrency campaigns from 2022-12″ author = “ESET Research” date = “2023-03-31” hash = “3B88CDA62CDD918B62EF5AA8C5A73A46F176D18B” hash = “CAD1120D91B812ACAFEF7175F949DD1B09C6C21A” hash = “5B03294B72C0CAA5FB20E7817002C600645EB475” hash = “7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC” condition: pe.rich_signature.toolid(259, 30818) == 9 and pe.rich_signature.toolid(256, 31329) == 1 and pe.rich_signature.toolid(261, 30818) >= 30 and pe.rich_signature.toolid(261, 30818) <= 38 and pe.rich_signature.toolid(261, 29395) >= 134 and pe.rich_signature.toolid(261, 29395) <= 164 and pe.rich_signature.toolid(257, 29395) >= 6 and pe.rich_signature.toolid(257, 29395) <= 14 } |
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
- Cunhando o Futuro com Adryenn Ashley. Acesse aqui.
- Fonte: https://www.welivesecurity.com/2023/04/20/linux-malware-strengthens-links-lazarus-3cx-supply-chain-attack/
- :tem
- :é
- :não
- $UP
- 000
- 000 clientes
- 1
- 11
- 20
- 2014
- 2020
- 2021
- 2022
- 2023
- 39
- 7
- 8
- 9
- a
- habilidade
- Capaz
- Sobre
- acima
- Segundo
- Conta
- Contas
- atividade
- atores
- adicionado
- Adicional
- Indústria aeroespacial
- afetando
- contra
- algoritmo
- Todos os Produtos
- permite
- ao lado de
- já
- tb
- entre
- an
- Analistas
- e
- Outro
- qualquer
- app
- aparente
- atraente
- Aplicação
- aplicações
- Aproximando
- Abril
- APT
- arquivo
- SOMOS
- Argentina
- Ordem
- artigo
- artigos
- AS
- At
- ataque
- Ataques
- por WhatsApp.
- AGOSTO
- Autenticação
- autor
- em caminho duplo
- Porta dos fundos
- Backdoors
- apoio
- Mau
- baseado
- bater
- BE
- Bears
- Porque
- sido
- antes
- Começo
- atrás
- ser
- Acreditar
- abaixo
- entre
- ambos
- Brazil
- navegador
- by
- C + +
- chamada
- chamado
- Campanha
- Campanhas
- CAN
- não podes
- capacidades
- casas
- casos
- Causar
- cadeia
- correntes
- Canal
- personagem
- cifra
- CISO
- reivindicar
- classe
- cliente
- Na nuvem
- armazenamento em nuvem
- Agrupar
- código
- cunhado
- COM
- comum
- Comunicação
- Comunicações
- comunidade
- Empresas
- Empresa
- Empresa
- comparação
- Completa
- integrações
- componente
- compromisso
- Comprometido
- condição
- conduzido
- confiança
- Configuração
- Confirmar
- conectado
- da conexão
- Contacto
- não contenho
- contém
- conteúdo
- contribuir
- corresponde
- corroborar
- poderia
- país
- coberto
- cobertura
- crio
- criado
- criptomoedas
- Atual
- Atualmente
- personalizadas
- Clientes
- dados,
- bases de dados
- Data
- Datas
- dias
- morto
- Dezembro
- decidido
- Padrão
- Defensores
- Defesa
- atrasos
- entrega
- demonstraram
- demonstra
- implantado
- desenvolvimento
- profundidade
- descrição
- área de trabalho
- detalhe
- Detecção
- Determinar
- determinado
- devastador
- desenvolvido
- Developer
- DID
- diferir
- diretamente
- diretamente
- divulgação
- descoberto
- descoberta
- monitores
- distribuir
- distribuído
- distribuindo
- distribuição
- documento
- domínio
- domínios
- DOT
- download
- de downloads
- dirigido
- Cair
- Drops
- apelidado
- durante
- cada
- Cedo
- incorporado
- habilitado
- criptografada
- criptografia
- engenheiro
- Engenharia
- Entretenimento
- Meio Ambiente
- erro
- Pesquisa ESET
- estabelecido
- Mesmo
- eventos
- evidência
- Executa
- execução
- existente
- Explicação
- explicado
- extensão
- externo
- extrato
- fatores
- falsificação
- Fevereiro
- Buscou
- poucos
- Figura
- Envie o
- Arquivos
- final
- Primeiro nome
- caber
- bandeiras
- navio almirante
- seguido
- seguinte
- Escolha
- formulário
- formato
- encontrado
- da
- frente
- cheio
- função
- ter
- GitHub
- dado
- Go
- Grupo
- Do grupo
- Locatário
- hash
- Ter
- he
- cabeçalhos
- headlines
- saúde
- ajudar
- ajudou
- Esconder
- Alta
- Destaque
- história
- hospitalidade
- hospedado
- Como funciona o dobrador de carta de canal
- Contudo
- HSBC
- HTML
- http
- HTTPS
- idêntico
- Impacto
- implementação
- implementa
- importar
- in
- incidente
- resposta a incidentes
- incluir
- Incluindo
- indústria
- infame
- INFORMAÇÕES
- Infraestrutura
- infra-estrutura
- inicialmente
- Inquéritos
- instalado
- em vez disso
- Intel
- Inteligência
- interesse
- interessante
- Internacionais
- para dentro
- investigar
- investigação
- envolvido
- IT
- ESTÁ
- se
- janeiro
- Trabalho
- JOE
- Julho
- Kaspersky
- Chave
- chaves
- Tipo
- Conhecimento
- Coreana
- Sobrenome
- Ano passado
- Atrasado
- lançado
- camada
- Lázaro
- Grupo Lazarus
- líder
- líderes
- Nível
- Biblioteca
- Provável
- LINK
- ligado
- Links
- linux
- Lista
- LLC
- carregador
- carregamento
- cargas
- longo
- olhar
- lote
- máquina
- máquinas
- MacOS
- moldadas
- principal
- FAZ
- malwares
- Gerente
- Manipulação
- muitos
- mapa,
- Março
- max-width
- Posso..
- mencionado
- mensagens
- Meta
- metadados
- método
- Microsoft
- poder
- Militar
- Móvel Esteira
- Aplicativo móvel
- mais
- a maioria
- múltiplo
- misterioso
- nome
- Nomeado
- nomeadamente
- nomes
- nativo
- Nem
- rede
- Novo
- Próximo
- Norte
- notório
- of
- oferecer
- Oferece
- oficial
- on
- ONE
- contínuo
- só
- aberto
- abertura
- operando
- sistemas operacionais
- operação
- operadores
- or
- ordem
- organizações
- original
- Outros
- A Nossa
- saída
- Acima de
- próprio
- EDUCAÇAO FISICA
- página
- Papel
- parte
- passado
- perspectiva
- telefone
- FOTOS
- planejado
- Plataformas
- platão
- Inteligência de Dados Platão
- PlatãoData
- por favor
- preferido
- presença
- anterior
- anteriormente
- Prévio
- privado
- provavelmente
- processo
- processos
- produzir
- Perfil
- projetos
- protocolo
- fornecer
- fornecido
- fornece
- fornecendo
- procuração
- público
- publicamente
- publicado
- editor
- rapidamente
- em vez
- realizado
- recapitulação
- recebido
- recentemente
- recentemente
- registrado
- relacionado
- relacionamento
- remoto
- remoção
- Denunciar
- Informou
- Relatórios
- representar
- representado
- pesquisa
- investigador
- pesquisadores
- resposta
- Revelado
- Rico
- Tipo
- Roménia
- Regra
- Execute
- corrida
- mesmo
- segundo
- Seção
- Setores
- firmemente
- segurança
- Série
- Servidores
- serviço
- Serviços
- conjunto
- vários
- compartilhado
- concha
- Shows
- assinado
- periodo
- semelhante
- semelhanças
- desde
- solteiro
- Tamanho
- tamanhos
- dormir
- So
- até aqui
- Redes Sociais
- Engenharia social
- Software
- alguns
- algo
- Sony
- Sul
- Sul-coreano
- específico
- Etapa
- Estágio
- padrão
- começado
- Unidos
- Passo
- armazenamento
- armazenadas
- lojas
- transmitir canais
- Fortalecer
- Fortalece
- mais forte,
- discordaram
- estudo
- Submissões
- apresentado
- substancial
- Sugere
- supply
- cadeia de suprimentos
- símbolo
- sintaxe
- .
- sistemas
- mesa
- Target
- visadas
- alvejando
- tem como alvo
- Dados Técnicos:
- técnicas
- Tecnologias
- do que
- que
- A
- deles
- Eles
- si mesmos
- Este
- De terceiros
- isto
- ameaça
- atores de ameaças
- três
- Através da
- tempo
- linha do tempo
- tipo
- para
- juntos
- token
- ferramenta
- ferramentas
- tráfego
- tratamento
- desencadeado
- típico
- tipografia
- unix
- Atualizar
- Atualizada
- URL
- us
- usar
- usava
- Utilizador
- usuários
- utilizar
- Variante
- vário
- fornecedor
- versão
- via
- Vítima
- vítimas
- Virtual
- máquina virtual
- Visite a
- vmware
- vs
- Wardle
- foi
- Caminho..
- we
- web
- navegador web
- Site
- semanas
- BEM
- foram
- O Quê
- se
- qual
- Largo
- Wikipedia
- precisarão
- Windows
- de
- Atividades:
- seria
- embrulho
- escrito
- ano
- zefirnet
- Zip