Asemănările cu programele malware Linux recent descoperite utilizate în Operațiunea DreamJob coroborează teoria conform căreia infamul grup aliniat la Coreea de Nord se află în spatele atacului 3CX.
Cercetătorii ESET au descoperit o nouă campanie Lazarus Operation DreamJob care vizează utilizatorii Linux. Operațiunea DreamJob este numele unei serii de campanii în care grupul folosește tehnici de inginerie socială pentru a-și compromite țintele, cu oferte de locuri de muncă false ca momeală. În acest caz, am reușit să reconstruim întregul lanț, din fișierul ZIP care oferă o ofertă de muncă falsă HSBC ca momeală, până la sarcina finală: ușa din spate SimplexTea Linux distribuită printr-un OpenDrive cont de stocare în cloud. Din câte știm, aceasta este prima mențiune publică a acestui actor major de amenințări aliniat la Coreea de Nord, care folosește malware Linux ca parte a acestei operațiuni.
În plus, această descoperire ne-a ajutat să confirmăm cu un nivel ridicat de încredere că recentul atac al lanțului de aprovizionare 3CX a fost de fapt condus de Lazarus – o legătură care a fost suspectată de la bun început și demonstrată de mai mulți cercetători în domeniul securității de atunci. În această postare pe blog, coroborăm aceste constatări și oferim dovezi suplimentare despre legătura dintre Lazăr și atacul lanțului de aprovizionare 3CX.
Atacul 3CX pe lanțul de aprovizionare
3CX este un dezvoltator și distribuitor internațional de software VoIP care oferă servicii de sisteme telefonice multor organizații. Potrivit site-ului său web, 3CX are peste 600,000 de clienți și 12,000,000 de utilizatori în diverse sectoare, inclusiv aerospațial, asistență medicală și ospitalitate. Oferă software client pentru a-și folosi sistemele printr-un browser web, o aplicație mobilă sau o aplicație desktop. La sfârșitul lunii martie 2023, s-a descoperit că aplicația desktop atât pentru Windows, cât și pentru macOS conținea cod rău intenționat care a permis unui grup de atacatori să descarce și să ruleze cod arbitrar pe toate mașinile pe care a fost instalată aplicația. Rapid, s-a stabilit că acest cod rău intenționat nu a fost ceva pe care 3CX l-a adăugat ei înșiși, ci că 3CX a fost compromis și că software-ul său a fost folosit într-un atac al lanțului de aprovizionare condus de actori externi ai amenințărilor pentru a distribui malware suplimentar anumitor clienți 3CX.
Acest incident cibernetic a făcut titluri în ultimele zile. Raportat inițial pe 29 martieth, 2023 într-un Reddit thread de către un inginer CrowdStrike, urmat de un raport oficial al CrowdStrike, declarând cu mare încredere că LABIRINTH CHOLLIMA, numele de cod al companiei pentru Lazarus, a fost în spatele atacului (dar omițând orice dovadă care susține afirmația). Din cauza gravității incidentului, mai multe companii de securitate au început să contribuie cu rezumatele evenimentelor, și anume Sophos, Check Point, Broadcom, Trend Micro, Și mai mult.
În plus, partea atacului care afectează sistemele care rulează macOS a fost tratată în detaliu în a Twitter fir și a postare pe blog de Patrick Wardle.
Cronologia evenimentelor
Cronologia arată că făptuitorii au planificat atacurile cu mult înainte de execuție; încă din decembrie 2022. Acest lucru sugerează că au avut deja un punct de sprijin în rețeaua 3CX la sfârșitul anului trecut.
În timp ce aplicația troianizată 3CX macOS arată că a fost semnată la sfârșitul lunii ianuarie, nu am văzut aplicația proastă în telemetria noastră până pe 14 februarieth, 2023. Nu este clar dacă actualizarea rău intenționată pentru macOS a fost distribuită înainte de acea dată.
Deși telemetria ESET arată existența încărcăturii utile macOS din a doua etapă încă din februarie, nu am avut eșantionul în sine și nici metadate care să ne anunțe despre răutatea sa. Includem aceste informații pentru a ajuta apărătorii să determine cât de departe ar fi putut fi compromise sistemele din spate.
Cu câteva zile înainte ca atacul să fie dezvăluit public, un misterios program de descărcare Linux a fost trimis către VirusTotal. Descarcă o nouă sarcină utilă Lazarus pentru Linux și explicăm relația sa cu atacul mai târziu în text.
Atribuirea atacului lanțului de aprovizionare 3CX lui Lazăr
Ceea ce este deja publicat
Există un domeniu care joacă un rol semnificativ în raționamentul nostru de atribuire: journalide[.]org. Este menționat în unele dintre rapoartele vânzătorilor legate mai sus, dar prezența sa nu este niciodată explicată. Interesant, articole de Santinela Unu și ObiectivVezi nu menționați acest domeniu. Nici o postare pe blog de Volexitate, care chiar s-a abținut să ofere atribuire, afirmând „Volexity nu poate mapa în prezent activitatea dezvăluită la niciun actor de amenințare”. Analiștii săi au fost printre primii care au investigat atacul în profunzime și au creat un instrument pentru a extrage o listă de servere C&C din pictogramele criptate de pe GitHub. Acest instrument este util, deoarece atacatorii nu au încorporat serverele C&C direct în etapele intermediare, ci mai degrabă au folosit GitHub ca soluție de picături moarte. Etapele intermediare sunt descărcătoare pentru Windows și macOS pe care le denotăm IconicLoaders și încărcările utile pe care le primesc ca IconicStealer și, respectiv, UpdateAgent.
În martie 30th, Joe Desimone, un cercetător de securitate de la Securitate elastică, a fost printre primii care au furnizat, în a Twitter fir, indicii substanțiale că compromisurile conduse de 3CX sunt probabil legate de Lazăr. El a observat că un stub shellcode a fost adăugat înaintea sarcinii utile de la d3dcompiler_47.dll este similar cu cioturile de încărcare AppleJeus atribuite lui Lazăr de CISA din aprilie 2021.
În martie 31st a fost fiind raportate că 3CX a reținut Mandiant pentru a furniza servicii de răspuns la incidente legate de atacul lanțului de aprovizionare.
Pe 3 aprilierd, Kaspersky, prin telemetria sa, a arătat o relație directă între victimele lanțului de aprovizionare 3CX și desfășurarea unei uși din spate numită Gopuram, ambele implicând încărcături utile cu un nume comun, guard64.dll. Datele Kaspersky arată că Gopuram este conectat la Lazarus deoarece a coexistat alături de mașinile victime AppleJeus, malware care a fost deja atribuit lui Lazarus. Atât Gopuram, cât și AppleJeus au fost observați în atacuri împotriva unei companii de criptomonede.
Apoi, pe 11 aprilieth, CISO al 3CX a rezumat constatările intermediare ale lui Mandiant în a postare pe blog. Potrivit acelui raport, două mostre de malware Windows, un încărcător de cod shell numit TAXHAUL și un descărcator complex numit COLDCAT, au fost implicate în compromisul 3CX. Nu au fost furnizate hashe-uri, dar regula YARA a lui Mandiant, numită TAXHAUL, se declanșează și pe alte mostre deja pe VirusTotal:
- SHA-1: 2ACC6F1D4656978F4D503929B8C804530D7E7CF6 (ualapi.dll),
- SHA-1: DCEF83D8EE080B54DC54759C59F955E73D67AA65 (wlbsctrl.dll)
Numele de fișiere, dar nu și MD5-urile, ale acestor mostre coincid cu cele de pe blogul Kaspersky. Cu toate acestea, 3CX afirmă în mod explicit că COLDCAT diferă de Gopuram.
Următoarea secțiune conține o descriere tehnică a noii sarcini utile Linux rău intenționate Lazarus pe care am analizat-o recent, precum și modul în care ne-a ajutat să întărim legătura existentă între Lazarus și compromisul 3CX.
Operațiunea DreamJob cu o sarcină utilă Linux
Operațiunea DreamJob a grupului Lazarus presupune abordarea țintelor prin LinkedIn și tentarea acestora cu oferte de muncă de la liderii din industrie. Numele a fost inventat de ClearSky într-un hârtie publicat în august 2020. Acea lucrare descrie o campanie de spionaj cibernetic Lazarus care vizează companiile de apărare și aerospațiale. Activitatea s-a suprapus cu ceea ce numim Operațiunea In(ter)ception, o serie de atacuri de spionaj cibernetic care au loc de cel puțin Septembrie 2019. Acesta vizează companiile aerospațiale, militare și de apărare și utilizează instrumente specifice rău intenționate, inițial doar pentru Windows. În lunile iulie și august 2022, am găsit două cazuri de operațiune In(ter)ception care vizează macOS. Un eșantion de malware a fost trimis către VirusTotal din Brazilia și un alt atac a vizat un utilizator ESET din Argentina. În urmă cu câteva săptămâni, a fost găsită o încărcare utilă Linux nativă pe VirusTotal cu o momeală PDF cu tematică HSBC. Acest lucru completează capacitatea lui Lazarus de a viza toate sistemele de operare desktop majore.
În martie 20th, un utilizator din țara Georgia a trimis la VirusTotal o arhivă ZIP numită Oferta de munca HSBC.pdf.zip. Având în vedere alte campanii DreamJob ale lui Lazarus, această sarcină utilă a fost probabil distribuită prin spearphishing sau prin mesaje directe pe LinkedIn. Arhiva conține un singur fișier: un binar Intel Linux nativ pe 64 de biți, scris în Go și numit Oferta de munca HSBC․pdf.
Interesant, extensia de fișier nu este . Pdf. Acest lucru se datorează faptului că caracterul punct aparent din numele fișierului este a punct lider reprezentată de caracterul Unicode U+2024. Utilizarea punctului lider în numele fișierului a fost probabil o încercare de a păcăli managerul de fișiere să trateze fișierul ca un executabil în loc de un PDF. Acest lucru ar putea face ca fișierul să ruleze atunci când se face dublu clic în loc să îl deschidă cu un vizualizator PDF. La execuție, un PDF momeală este afișat utilizatorului care utilizează XDG-deschis, care va deschide documentul folosind vizualizatorul PDF preferat de utilizator (vezi Figura 3). Am decis să numim acest program de descărcare ELF OdicLoader, deoarece are un rol similar cu IconicLoaders pe alte platforme, iar sarcina utilă este preluată de pe OpenDrive.
OdicLoader aruncă un document PDF momeală, îl afișează utilizând vizualizatorul PDF implicit al sistemului (vezi Figura 2), apoi descarcă o ușă din spate din a doua etapă din OpenDrive serviciu cloud. Fișierul descărcat este stocat în ~/.config/guiconfigd (SHA-1: 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF). Numim această ușă din spate din a doua etapă SimplexTea.
Ca ultimul pas al execuției sale, OdicLoader se modifică ~ / .bash_profile, deci SimplexTea este lansat cu Bash și ieșirea sa este dezactivată (~/.config/guiconfigd >/dev/null 2>&1).
SimplexTea este un backdoor Linux scris în C++. După cum este evidențiat în Tabelul 1, numele claselor sale sunt foarte asemănătoare cu numele funcțiilor găsite într-un eșantion, cu nume de fișier sysnetd, transmisă la VirusTotal din România (SHA-1: F6760FB1F8B019AF2304EA6410001B63A1809F1D). Din cauza asemănărilor dintre numele claselor și numele funcțiilor dintre SimplexTea și sysnetd, credem că SimplexTea este o versiune actualizată, rescrisă din C în C++.
Tabelul 1. Comparația numelor simbolurilor originale de la două backdoors Linux trimise la VirusTotal
guiconfigd |
sysnetd |
CMsgCmd::Start(void) | MSG_Cmd |
CmsgAsiguraDe::Start(void) | MSG_Del |
CMsgDir::Start(void) | MSG_Dir |
CMsgDown::Start(void) | MSG_Jos |
CMsgExit::Start(void) | MSG_Exit |
CMsgReadConfig::Start(void) | MSG_ReadConfig |
CMsgRun::Start(void) | MSG_Run |
CMsgSetPath::Start(void) | MSG_SetPath |
CMsgSleep::Start(void) | MSG_Sleep |
CMsgTest::Start(void) | MSG_Test |
CMsgUp::Start(void) | MSG_Up |
CMsgWriteConfig::Start(void) | MSG_WriteConfig |
MSG_GetComInfo | |
CMsgHibernate::Start(void) | |
CMsgKeepCon::Start(void) | |
CMsgZipDown::Start(void) | |
CMsgZip::StartZip(void *) | |
CMsgZip::Start(void) | |
CHttpWrapper::RecvData(uchar *&,uint *,uint,signed char) | |
RecvMsg | |
CHttpWrapper::Trimitemsg(_MSG_STRUCT *) | Trimitemsg |
CHttpWrapper::SendData(uchar *,uint,uint) | |
CHttpWrapper::SendMsg(uint,uint,uchar *,uint,uint) | |
CHttpWrapper::SendLoginData(uchar *,uint,uchar *&,uint *) |
Cum sysnetd legat de Lazăr? Următoarea secțiune prezintă asemănări cu ușa din spate Windows a lui Lazarus numită BADCALL.
BADCALL pentru Linux
atribuim sysnetd lui Lazăr din cauza asemănărilor sale cu următoarele două fișiere (și credem că sysnetd este o variantă Linux a ușii din spate a grupului pentru Windows numită BADCALL):
- P2P_DLL.dll (SHA-1: 65122E5129FC74D6B5EBAFCC3376ABAE0145BC14), care arată asemănări de cod cu sysnetd sub formă de domenii utilizate ca front pentru conexiunea TLS falsă (vezi Figura 4). A fost atribuită lui Lazăr de către CISA în decembrie 2017. din Septembrie 2019, CISA a început să apeleze versiuni mai noi ale acestui program malware BADCALL (SHA-1: D288766FA268BC2534F85FD06A5D52264E646C47).
- prtspool (SHA-1: 58B0516D28BD7218B1908FB266B8FE7582E22A5F), care arată asemănări de cod cu sysnetd (vezi Figura 5). A fost atribuită lui Lazăr de către CISA în februarie 2021. De asemenea, rețineți că SIMPLESEA, o ușă din spate macOS găsită în timpul răspunsului la incident 3CX, implementează Axnumx / xnumx stream cipher.
Această versiune Linux a ușii din spate BADCALL, sysnetd, își încarcă configurația dintr-un fișier numit /tmp/vgauthsvclog. Deoarece operatorii Lazarus și-au deghizat anterior sarcinile utile, utilizarea acestui nume, care este folosit de serviciul VMware Guest Authentication, sugerează că sistemul vizat poate fi o mașină virtuală Linux VMware. Interesant este că cheia XOR în acest caz este aceeași cu cea folosită în SIMPLESEA din investigația 3CX.
Aruncând o privire la cele trei numere întregi pe 32 de biți, 0xC2B45678, 0x90ABCDEF, și 0xFE268455 din Figura 5, care reprezintă o cheie pentru o implementare personalizată a cifrului A5/1, ne-am dat seama că același algoritm și cheile identice au fost folosite în malware Windows care datează de la sfârșitul anului 2014 și a fost implicat într-una dintre cele mai multe cazuri notorii Lazăr: sabotajul cibernetic al Sony Pictures Entertainment (SHA-1: 1C66E67A8531E3FF1C64AE57E6EDFDE7BEF2352D).
Puncte de date suplimentare de atribuire
Pentru a recapitula ceea ce am acoperit până acum, atribuim atacul 3CX pe lanțul de aprovizionare grupului Lazarus cu un nivel ridicat de încredere. Aceasta se bazează pe următorii factori:
- Programe malware (setul de intruziune):
- The IconicLoader (samcli.dll) folosește același tip de criptare puternică – AES-GCM – ca SimplexTea (a cărui atribuire lui Lazarus a fost stabilită prin similitudinea cu BALLCALL pentru Linux); doar cheile și vectorii de inițializare diferă.
- Pe baza antetelor PE Rich, atât IconicLoader (samcli.dll) și IconicStealer (sechost.dll) sunt proiecte de dimensiuni similare și compilate în același mediu Visual Studio ca și executabilele iertutil.dll (SHA-1: 5B03294B72C0CAA5FB20E7817002C600645EB475) Şi iertutil.dll (SHA-1: 7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC) raportate în campaniile de criptomonede Lazarus de Volexitate și Microsoft. Includem mai jos regula YARA RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023, care semnalează toate aceste mostre și niciun fișier rău intenționat sau curat fără legătură, așa cum a fost testat în bazele de date ESET actuale și în trimiterile recente VirusTotal.
- Sarcina utilă SimplexTea își încarcă configurația într-un mod foarte similar cu malware-ul SIMPLESEA din răspunsul oficial la incident 3CX. Tasta XOR diferă (0x5E Raport 0x7E), dar configurația poartă același nume: apdl.cf (vezi Figura 8).
- Infrastructură:
- Există o infrastructură de rețea partajată cu SimplexTea, așa cum folosește https://journalide[.]org/djour.php așa cum este C&C, al cărui domeniu este raportat în rezultate oficiale a răspunsului incident la compromisul 3CX de către Mandiant.
Concluzie
Compromisul 3CX a câștigat multă atenție din partea comunității de securitate de la dezvăluirea sa pe 29 martieth. Acest software compromis, implementat pe diverse infrastructuri IT, care permite descărcarea și executarea oricărui tip de încărcare utilă, poate avea efecte devastatoare. Din păcate, niciun editor de software nu este imun să fie compromis și să distribuie din neatenție versiuni troiene ale aplicațiilor lor.
Sigilitatea unui atac pe lanțul de aprovizionare face ca această metodă de distribuire a malware să fie foarte atrăgătoare din perspectiva atacatorului. Lazăr a folosit deja această tehnică în trecut, vizează utilizatorii sud-coreeni ai software-ului WIZVERA VeraPort în 2020. Asemănările cu programele malware existente din setul de instrumente Lazarus și cu tehnicile tipice ale grupului sugerează cu tărie că recentul compromis 3CX este opera lui Lazarus.
De asemenea, este interesant de remarcat faptul că Lazarus poate produce și utiliza programe malware pentru toate sistemele de operare desktop majore: Windows, macOS și Linux. Atât sistemele Windows, cât și macOS au fost vizate în timpul incidentului 3CX, software-ul VoIP al 3CX pentru ambele sisteme de operare fiind troianizat pentru a include cod rău intenționat pentru a prelua încărcături utile arbitrare. În cazul lui 3CX, există atât versiuni de malware din a doua etapă pentru Windows, cât și macOS. Acest articol demonstrează existența unei uși din spate Linux care corespunde probabil malware-ului SIMPLESEA macOS văzut în incidentul 3CX. Am numit această componentă Linux SimplexTea și am arătat că face parte din Operațiunea DreamJob, campania emblematică a lui Lazarus care folosește oferte de muncă pentru a atrage și a compromite victime nebănuitoare.
ESET Research oferă rapoarte private de informații APT și fluxuri de date. Pentru orice întrebări despre acest serviciu, vizitați ESET Threat Intelligence .
IoC-uri
Fişiere
SHA-1 | Filename | Nume de detectare ESET | Descriere |
---|---|---|---|
0CA1723AFE261CD85B05C9EF424FC50290DCE7DF | guiconfigd | Linux/NukeSped.E | SimplexTea pentru Linux. |
3A63477A078CE10E53DFB5639E35D74F93CEFA81 | HSBC_job_offer․pdf | Linux/NukeSped.E | OdicLoader, un program de descărcare pe 64 de biți pentru Linux, scris în Go. |
9D8BADE2030C93D0A010AA57B90915EB7D99EC82 | HSBC_job_offer.pdf.zip | Linux/NukeSped.E | O arhivă ZIP cu încărcare utilă Linux, de la VirusTotal. |
F6760FB1F8B019AF2304EA6410001B63A1809F1D | sysnetd | Linux/NukeSped.G | BADCALL pentru Linux. |
Prima dată văzut | 2023-03-20 12:00:35 |
---|---|
MD5 | CEDB9CDBAD254F60CFB215B9BFF84FB9 |
SHA-1 | 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF |
SHA-256 | EEBB01932DE0B5605DD460CC82844D8693C00EA8AB5FFDF8DBEDE6528C1C18FD |
Filename | guiconfigd |
Descriere | SimplexTea pentru Linux. |
C&C | https://journalide[.]org/djour.php |
descărcat de pe | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
Detectare | Linux/NukeSped.E |
Marca temporală a compilației PE | - |
Prima dată văzut | 2023-03-16 07:44:18 |
---|---|
MD5 | 3CF7232E5185109321921046D039CF10 |
SHA-1 | 3A63477A078CE10E53DFB5639E35D74F93CEFA81 |
SHA-256 | 492A643BD1EFDACA4CA125ADE1B606E7BBF00E995AC9115AC84D1C4C59CB66DD |
Filename | HSBC_job_offer․pdf |
Descriere | OdicLoader, un program de descărcare pe 64 de biți pentru Linux, în Go. |
C&C | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
descărcat de pe | - |
Detectare | Linux/NukeSped.E |
Marca temporală a compilației PE | - |
Prima dată văzut | 2023-03-20 02:23:29 |
---|---|
MD5 | FC41CB8425B6432AF8403959BB59430D |
SHA-1 | 9D8BADE2030C93D0A010AA57B90915EB7D99EC82 |
SHA-256 | F638E5A20114019AD066DD0E856F97FD865798D8FBED1766662D970BEFF652CA |
Filename | HSBC_job_offer.pdf.zip |
Descriere | O arhivă ZIP cu încărcare utilă Linux, de la VirusTotal. |
C&C | - |
descărcat de pe | - |
Detectare | Linux/NukeSped.E |
Marca temporală a compilației PE | - |
Prima dată văzut | 2023-02-01 23:47:05 |
---|---|
MD5 | AAC5A52B939F3FE792726A13FF7A1747 |
SHA-1 | F6760FB1F8B019AF2304EA6410001B63A1809F1D |
SHA-256 | CC307CFB401D1AE616445E78B610AB72E1C7FB49B298EA003DD26EA80372089A |
Filename | sysnetd |
Descriere | BADCALL pentru Linux. |
C&C | tcp://23.254.211[.]230 |
descărcat de pe | - |
Detectare | Linux/NukeSped.G |
Marca temporală a compilației PE | - |
Reţea
Adresa IP | domeniu | Furnizor de găzduire | Prima dată văzut | Detalii |
---|---|---|---|---|
23.254.211[.]230 | - | Hostwinds LLC. | - | Server C&C pentru BADCALL pentru Linux |
38.108.185[.]79 38.108.185[.]115 |
od[.]lk | Comunicări Cogent | 2023-03-16 | Stocare la distanță OpenDrive care conține SimplexTea (/d/NTJfMzg4MDE1NzJf/vxmedia) |
172.93.201[.]88 | journalide[.]org | Nexeon Technologies, Inc. | 2023-03-29 | Server C&C pentru SimplexTea (/djour.php) |
Tehnici MITRE ATT&CK
tactică | ID | Nume si Prenume | Descriere |
---|---|---|---|
Recunoaştere | T1593.001 | Căutați site-uri/domenii deschise: rețele sociale | Atacatorii lui Lazarus au abordat probabil o țintă cu o ofertă de muncă falsă pe tema HSBC, care s-ar potrivi interesului țintei. Acest lucru a fost făcut mai ales prin LinkedIn în trecut. |
Dezvoltarea resurselor | T1584.001 | Achiziționați infrastructură: Domenii | Spre deosebire de multe cazuri anterioare de C&C compromise utilizate în Operațiunea DreamJob, operatorii Lazarus și-au înregistrat propriul domeniu pentru ținta Linux. |
T1587.001 | Dezvoltarea capacităților: Malware | Instrumentele personalizate din atac sunt foarte probabil dezvoltate de atacatori. | |
T1585.003 | Stabiliți Conturi: Conturi Cloud | Atacatorii au găzduit etapa finală pe serviciul cloud OpenDrive. | |
T1608.001 | Capabilități de etapă: Încărcați programe malware | Atacatorii au găzduit etapa finală pe serviciul cloud OpenDrive. | |
Execuție | T1204.002 | Execuție utilizator: fișier rău intenționat | OdicLoader se preface ca un fișier PDF pentru a păcăli ținta. |
Acces inițial | T1566.002 | Phishing: Link de spearphishing | Ținta a primit probabil o legătură către stocarea de la distanță terță parte cu o arhivă ZIP rău intenționată, care a fost trimisă ulterior către VirusTotal. |
Persistență | T1546.004 | Execuție declanșată de eveniment: modificarea configurației Shell Unix | OdicLoader modifică profilul Bash al victimei, astfel încât SimplexTea este lansat de fiecare dată când Bash este privit și ieșirea sa este dezactivată. |
Evaziunea apărării | T1134.002 | Acces Token Manipulare: Creați un proces cu Token | SimplexTea poate crea un nou proces, dacă este instruit de serverul său C&C. |
T1140 | Deofuscați/Decodificați fișierele sau informațiile | SimplexTea își stochează configurația într-un format criptat apdl.cf. | |
T1027.009 | Fișiere sau informații ofucate: încărcături utile încorporate | Dropper-urile tuturor lanțurilor rău intenționate conțin o matrice de date încorporată cu o etapă suplimentară. | |
T1562.003 | Deteriorarea apărărilor: afectarea istoricului comenzilor | OdicLoader modifică profilul Bash al victimei, astfel încât mesajele de ieșire și de eroare de la SimplexTea sunt dezactivate. SimplexTea execută noi procese cu aceeași tehnică. | |
T1070.004 | Eliminarea indicatorului: ștergerea fișierului | SimplexTea are capacitatea de a șterge fișiere în siguranță. | |
T1497.003 | Virtualizare/Sandbox Evasion: Evaziune bazată pe timp | SimplexTea implementează mai multe întârzieri personalizate de somn în execuția sa. | |
Descoperire | T1083 | Descoperirea fișierelor și a directorului | SimplexTea poate lista conținutul directorului împreună cu numele, dimensiunile și marcajele de timp (imitând ls-la comanda). |
Comandă și Control | T1071.001 | Protocolul stratului de aplicație: protocoale web | SimplexTea poate folosi HTTP și HTTPS pentru comunicarea cu serverul său C&C, folosind o bibliotecă Curl legată static. |
T1573.001 | Canal criptat: Criptografie simetrică | SimplexTea criptează traficul C&C folosind algoritmul AES-GCM. | |
T1132.001 | Codificarea datelor: codificare standard | SimplexTea codifică traficul C&C folosind base64. | |
T1090 | Împuternicire | SimplexTea poate utiliza un proxy pentru comunicații. | |
Exfiltrarea | T1041 | Exfiltrare peste canalul C2 | SimplexTea poate exfiltra datele ca arhive ZIP pe serverul său C&C. |
Apendice
Această regulă YARA semnalează clusterul care conține atât IconicLoader, cât și IconicStealer, precum și încărcăturile utile implementate în campaniile de criptomonede din decembrie 2022.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
/* The following rule will only work with YARA version >= 3.11.0 */ import “pe” rule RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023 { meta: description = ” Rich Headers-based rule covering the IconicLoader and IconicStealer from the 3CX supply chain incident, and also payloads from the cryptocurrency campaigns from 2022-12″ author = “ESET Research” date = “2023-03-31” hash = “3B88CDA62CDD918B62EF5AA8C5A73A46F176D18B” hash = “CAD1120D91B812ACAFEF7175F949DD1B09C6C21A” hash = “5B03294B72C0CAA5FB20E7817002C600645EB475” hash = “7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC” condition: pe.rich_signature.toolid(259, 30818) == 9 and pe.rich_signature.toolid(256, 31329) == 1 and pe.rich_signature.toolid(261, 30818) >= 30 and pe.rich_signature.toolid(261, 30818) <= 38 and pe.rich_signature.toolid(261, 29395) >= 134 and pe.rich_signature.toolid(261, 29395) <= 164 and pe.rich_signature.toolid(257, 29395) >= 6 and pe.rich_signature.toolid(257, 29395) <= 14 } |
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
- Mintând viitorul cu Adryenn Ashley. Accesați Aici.
- Sursa: https://www.welivesecurity.com/2023/04/20/linux-malware-strengthens-links-lazarus-3cx-supply-chain-attack/
- :are
- :este
- :nu
- $UP
- 000
- 000 de clienți
- 1
- 11
- 20
- 2014
- 2020
- 2021
- 2022
- 2023
- 39
- 7
- 8
- 9
- a
- capacitate
- Capabil
- Despre Noi
- mai sus
- Conform
- Cont
- Conturi
- activitate
- actori
- adăugat
- Suplimentar
- Industria aerospațială
- care afectează
- împotriva
- Algoritmul
- TOATE
- permite
- pe langa
- deja
- de asemenea
- printre
- an
- analiști
- și
- O alta
- Orice
- aplicaţia
- aparent
- interesant
- aplicație
- aplicatii
- se apropie
- Aprilie
- APT
- arhivă
- SUNT
- Argentina
- Mulțime
- articol
- bunuri
- AS
- At
- ataca
- Atacuri
- atenţie
- August
- Autentificare
- autor
- înapoi
- ușă din dos
- Backdoors
- sprijin
- Rău
- bazat
- pocni
- BE
- Urșii
- deoarece
- fost
- înainte
- Început
- în spatele
- fiind
- Crede
- de mai jos
- între
- atât
- Brazilia
- browser-ul
- by
- C ++
- apel
- denumit
- Campanie
- Campanii
- CAN
- nu poti
- capacități
- caz
- cazuri
- Provoca
- lanţ
- lanţuri
- Canal
- caracter
- cifru
- CISO
- pretinde
- clasă
- client
- Cloud
- Stocare in cloud
- Grup
- cod
- inventat
- COM
- Comun
- Comunicare
- Comunicații
- comunitate
- Companii
- companie
- Compania
- comparație
- finalizeaza
- complex
- component
- compromis
- compromis
- condiție
- efectuat
- încredere
- Configuraţie
- Confirma
- legat
- conexiune
- contactați-ne
- conţine
- conține
- conţinut
- a contribui
- corespunde
- coroborează
- ar putea
- ţară
- acoperit
- acoperire
- crea
- a creat
- cryptocurrency
- Curent
- În prezent
- personalizat
- clienţii care
- de date
- baze de date
- Data
- Date
- Zi
- mort
- decembrie
- hotărât
- Mod implicit
- apărătorii
- Apărare
- întârzieri
- Oferă
- demonstrat
- demonstrează
- dislocate
- desfășurarea
- adâncime
- descriere
- desktop
- detaliu
- Detectare
- Determina
- determinat
- devastator
- dezvoltat
- Dezvoltator
- FĂCUT
- diferi
- direcționa
- direct
- dezvăluire
- a descoperit
- descoperire
- afișează
- distribui
- distribuite
- distribuire
- distribuire
- document
- domeniu
- domenii
- DOT
- Descarca
- download-uri
- condus
- Picătură
- Picături
- numit
- în timpul
- fiecare
- Devreme
- încorporat
- activat
- criptate
- criptare
- inginer
- Inginerie
- Divertisment
- Mediu inconjurator
- eroare
- Cercetare ESET
- stabilit
- Chiar
- evenimente
- dovadă
- Executa
- execuție
- existent
- Explica
- a explicat
- extensie
- extern
- extrage
- factori
- fals
- februarie
- Adus
- puțini
- Figura
- Fișier
- Fişiere
- final
- First
- potrivi
- steaguri
- pilot
- a urmat
- următor
- Pentru
- formă
- format
- găsit
- din
- faţă
- Complet
- funcţie
- Georgia
- obține
- GitHub
- dat
- Go
- grup
- Grupului
- Oaspete
- hașiș
- Avea
- he
- anteturile
- Prima pagină
- de asistență medicală
- ajutor
- a ajutat
- Ascunde
- Înalt
- Evidențiat
- istorie
- ospitalitate
- găzduit
- Cum
- Totuși
- HSBC
- HTML
- http
- HTTPS
- identic
- Impacturi
- implementarea
- ustensile
- import
- in
- incident
- răspuns la incident
- include
- Inclusiv
- industrie
- infam
- informații
- Infrastructură
- infrastructură
- inițial
- Cereri
- instalat
- in schimb
- Intel
- Inteligență
- interes
- interesant
- Internațional
- în
- investiga
- investigaţie
- implicat
- IT
- ESTE
- în sine
- ianuarie
- Loc de munca
- JOE
- iulie
- Kaspersky
- Cheie
- chei
- Copil
- cunoştinţe
- Coreeană
- Nume
- Anul trecut
- Târziu
- a lansat
- strat
- Lazăr
- Grupul Lazarus
- lider
- Liderii
- Nivel
- Bibliotecă
- Probabil
- LINK
- legate de
- Link-uri
- linux
- Listă
- LLC
- încărcător
- încărcare
- loturile
- Lung
- Uite
- Lot
- maşină
- Masini
- MacOS
- făcut
- major
- FACE
- malware
- manager
- Manipulare
- multe
- Hartă
- Martie
- max-width
- Mai..
- menționat
- mesaje
- meta
- Metadata
- metodă
- Microsoft
- ar putea
- Militar
- Mobil
- Aplicatie mobila
- mai mult
- cele mai multe
- multiplu
- misterios
- nume
- Numit
- și anume
- nume
- nativ
- Nici
- reţea
- Nou
- următor
- North
- notoriu
- of
- oferi
- promoții
- oficial
- on
- ONE
- în curs de desfășurare
- afară
- deschide
- de deschidere
- de operare
- sisteme de operare
- operaţie
- Operatorii
- or
- comandă
- organizații
- original
- Altele
- al nostru
- producție
- peste
- propriu
- P&E
- pagină
- Hârtie
- parte
- trecut
- perspectivă
- telefon
- poze
- planificat
- Platforme
- Plato
- Informații despre date Platon
- PlatoData
- "vă rog"
- preferat
- prezenţă
- precedent
- în prealabil
- anterior
- privat
- probabil
- proces
- procese
- produce
- Profil
- Proiecte
- protocol
- furniza
- prevăzut
- furnizează
- furnizarea
- împuternicit
- public
- public
- publicat
- editor
- repede
- mai degraba
- realizat
- recapitula
- primit
- recent
- recent
- înregistrată
- legate de
- relaţie
- la distanta
- îndepărtare
- raportează
- Raportat
- Rapoarte
- reprezenta
- reprezentate
- cercetare
- cercetător
- cercetători
- răspuns
- Dezvăluit
- Bogat
- Rol
- România
- Regula
- Alerga
- funcţionare
- acelaşi
- secunde
- Secțiune
- sectoare
- în siguranță,
- securitate
- serie
- Servere
- serviciu
- Servicii
- set
- câteva
- comun
- Coajă
- Emisiuni
- semnat
- semnificativ
- asemănător
- asemănări
- întrucât
- singur
- Mărimea
- dimensiuni
- dormi
- So
- până acum
- Social
- Inginerie sociala
- Software
- unele
- ceva
- Sony
- Sud
- Sud corean
- specific
- Etapă
- Stadiile
- standard
- început
- Statele
- Pas
- depozitare
- stocate
- magazine
- curent
- A intari
- intareste
- puternic
- tare
- studio
- Subscrieri
- prezentat
- substanțial
- sugerează
- livra
- lanțului de aprovizionare
- simbol
- sintaxă
- sistem
- sisteme
- tabel
- Ţintă
- vizate
- direcționare
- obiective
- Tehnic
- tehnici de
- Tehnologii
- decât
- acea
- lor
- Lor
- se
- Acestea
- terț
- acest
- amenințare
- actori amenințători
- trei
- Prin
- timp
- cronologie
- sfat
- la
- împreună
- semn
- instrument
- Unelte
- trafic
- tratare
- a declanșat
- tipic
- tipografie
- unix
- Actualizează
- actualizat
- URL-ul
- us
- utilizare
- utilizat
- Utilizator
- utilizatorii
- folosi
- Variantă
- diverse
- vânzător
- versiune
- de
- Victimă
- victime
- Virtual
- mașină virtuală
- Vizita
- VMware
- vs
- Wardle
- a fost
- Cale..
- we
- web
- browser web
- website
- săptămâni
- BINE
- au fost
- Ce
- dacă
- care
- larg
- Wikipedia
- voi
- ferestre
- cu
- Apartamente
- ar
- încadra
- scris
- an
- zephyrnet
- Zip