Сходство с недавно обнаруженным вредоносным ПО для Linux, использованным в операции DreamJob, подтверждает теорию о том, что за атакой на цепочку поставок 3CX стоит печально известная группа, связанная с Северной Кореей.
Исследователи ESET обнаружили новую кампанию Lazarus Operation DreamJob, нацеленную на пользователей Linux. Операция DreamJob — это название серии кампаний, в которых группа использует методы социальной инженерии для компрометации своих целей, используя поддельные предложения о работе в качестве приманки. В этом случае мы смогли восстановить полную цепочку, от ZIP-файла, который содержит поддельное предложение о работе в HSBC в качестве приманки, до последней полезной нагрузки: бэкдора SimplexTea Linux, распространяемого через OpenDrive учетная запись облачного хранилища. Насколько нам известно, это первое публичное упоминание об этом крупном злоумышленнике, связанном с Северной Кореей, который использует вредоносное ПО для Linux в рамках этой операции.
Кроме того, это открытие помогло нам с высокой степенью достоверности подтвердить, что недавняя атака цепочки поставок 3CX на самом деле была проведена Lazarus — связь, которая подозревалась с самого начала и с тех пор была продемонстрирована несколькими исследователями безопасности. В этом посте мы подтверждаем эти выводы и предоставляем дополнительные доказательства связи между Lazarus и атакой на цепочку поставок 3CX.
Атака на цепочку поставок 3CX
3CX — международный разработчик и дистрибьютор программного обеспечения для VoIP, предоставляющий услуги телефонной связи многим организациям. Согласно веб-сайту 3CX, у 600,000CX более 12,000,000 2023 клиентов и 3 3 3 пользователей в различных секторах, включая аэрокосмическую промышленность, здравоохранение и гостиничный бизнес. Он предоставляет клиентское программное обеспечение для использования своих систем через веб-браузер, мобильное приложение или настольное приложение. В конце марта XNUMX года было обнаружено, что настольное приложение для Windows и macOS содержит вредоносный код, который позволяет группе злоумышленников загружать и запускать произвольный код на всех машинах, где было установлено приложение. Вскоре было установлено, что этот вредоносный код не был добавлен XNUMXCX самостоятельно, а что XNUMXCX была скомпрометирована и что ее программное обеспечение использовалось в атаке на цепочку поставок, инициированной внешними злоумышленниками для распространения дополнительного вредоносного ПО среди конкретных клиентов XNUMXCX.
Этот кибер-инцидент попал в заголовки новостей в последние дни. Первоначально сообщалось 29 марта.th, 2023 год в Reddit. ветку инженера CrowdStrike, за которой следует официальный отчет CrowdStrike, заявив с высокой степенью уверенности, что за атакой стоит LABIRINTH CHOLLIMA, кодовое название компании Lazarus (но опуская какие-либо доказательства, подтверждающие это утверждение). Из-за серьезности инцидента несколько охранных компаний начали публиковать свои сводки событий, а именно Sophos, Check Point, Broadcom, Trend MicroИ многое другое.
Кроме того, часть атаки, затрагивающая системы под управлением macOS, была подробно описана в Twitter нить и Блогпост Патрик Уордл.
Хронология событий
Хронология показывает, что преступники планировали нападения задолго до казни; уже в декабре 2022 года. Это говорит о том, что они уже закрепились в сети 3CX в конце прошлого года.
Хотя троянское приложение 3CX для macOS показывает, что оно было подписано в конце января, мы не видели плохое приложение в нашей телеметрии до 14 февраля.th, 2023. Неясно, распространялось ли вредоносное обновление для macOS до этой даты.
Хотя телеметрия ESET показывает наличие полезной нагрузки второго этапа macOS еще в феврале, у нас не было ни самого образца, ни метаданных, чтобы предупредить нас о его вредоносности. Мы включаем эту информацию, чтобы помочь защитникам определить, насколько старые системы могли быть скомпрометированы.
За несколько дней до того, как об атаке стало известно публично, на VirusTotal был отправлен загадочный загрузчик Linux. Он загружает новую вредоносную полезную нагрузку Lazarus для Linux, и мы объясним ее связь с атакой далее в тексте.
Приписывание атаки на цепочку поставок 3CX Lazarus
Что уже опубликовано
Есть одна область, которая играет важную роль в наших рассуждениях об атрибуции: журналиде[.]орг. Он упоминается в некоторых отчетах поставщиков, связанных выше, но его присутствие никогда не объясняется. Интересно, что статьи SentinelOne и ЦельСмотреть не упоминайте этот домен. Как и сообщение в блоге от Volexity, который даже воздержался от указания авторства, заявив, что «Volexity в настоящее время не может сопоставить раскрытую активность с каким-либо злоумышленником». Его аналитики одними из первых подробно изучили атаку и создали инструмент для извлечения списка серверов C&C из зашифрованных значков на GitHub. Этот инструмент полезен, так как злоумышленники не встраивали C&C-серверы непосредственно в промежуточные этапы, а использовали GitHub в качестве решателя тайников. Промежуточные этапы — это загрузчики для Windows и macOS, которые мы обозначаем как IconicLoaders, а полезные данные, которые они получают, — как IconicStealer и UpdateAgent соответственно.
В марте 30th, Джо Дезимоун, исследователь безопасности из Эластичная безопасность, был одним из первых, кто представил в Twitter thread, существенные намеки на то, что компрометация 3CX, вероятно, связана с Lazarus. Он заметил, что заглушка шелл-кода добавлена к полезной нагрузке из d3dcompiler_47.dll похож на заглушки загрузчика AppleJeus, приписываемые Lazarus CISA еще в апреле 2021.
В марте 31st это было не являетесь переправу что 3CX наняла Mandiant для предоставления услуг по реагированию на инциденты, связанные с атакой на цепочку поставок.
На 3 апреляrd, Kaspersky, с помощью телеметрии, показал прямую связь между жертвами цепочки поставок 3CX и развертыванием бэкдора, получившего название Gopuram. Guard64.dll. Данные «Лаборатории Касперского» показывают, что Gopuram подключен к Lazarus, потому что он сосуществовал на компьютерах-жертвах вместе с AppleJeus, вредоносное ПО, которое уже было приписано Lazarus. И Gopuram, и AppleJeus были замечены в атаках на криптовалютную компанию.
Затем 11 апр.th, директор по информационной безопасности 3CX обобщил промежуточные выводы Mandiant в Блогпост. Согласно этому отчету, к компрометации 3CX были причастны два образца вредоносных программ для Windows: загрузчик шелл-кода под названием TAXHAUL и сложный загрузчик под названием COLDCAT. Хэши предоставлены не были, но правило YARA от Mandiant под названием TAXHAUL также срабатывает на других образцах, уже имеющихся на VirusTotal:
- SHA-1: 2ACC6F1D4656978F4D503929B8C804530D7E7CF6 (ualapi.dll),
- SHA-1: DCEF83D8EE080B54DC54759C59F955E73D67AA65 (wlbsctrl.dll)
Имена файлов этих образцов, но не MD5, совпадают с именами из блога Касперского. Однако 3CX прямо заявляет, что COLDCAT отличается от Gopuram.
Следующий раздел содержит техническое описание нового вредоносного ПО Lazarus для Linux, которое мы недавно проанализировали, а также то, как оно помогло нам укрепить существующую связь между Lazarus и компрометацией 3CX.
Операция DreamJob с полезной нагрузкой Linux
Операция DreamJob группы Lazarus включает в себя приближение к целям через LinkedIn и соблазнение их предложениями работы от лидеров отрасли. Название было придумано ClearSky в бумаги опубликовано в августе 2020 года. В этом документе описывается кампания кибершпионажа Lazarus, направленная против оборонных и аэрокосмических компаний. Эта деятельность пересекается с тем, что мы называем операцией «Перехват», серией кибершпионских атак, которые продолжаются, по крайней мере, сентябрю 2019. Он нацелен на аэрокосмические, военные и оборонные компании и использует специальные вредоносные инструменты, изначально предназначенные только для Windows. В течение июля и августа 2022 г. мы обнаружили два случая операции «Вмешательство» (Operation In(ter)ception), нацеленной на macOS. Один образец вредоносного ПО был отправлен VirusTotal из Бразилии, а еще одна атака была нацелена на пользователя ESET в Аргентине. Несколько недель назад на VirusTotal была обнаружена нативная полезная нагрузка Linux с PDF-приманкой на тему HSBC. Это завершает способность Lazarus ориентироваться на все основные настольные операционные системы.
В марте 20th, пользователь из Грузии отправил на VirusTotal ZIP-архив под названием Предложение о работе в HSBC.pdf.zip. Учитывая другие кампании DreamJob от Lazarus, эта полезная нагрузка, вероятно, распространялась с помощью целевого фишинга или прямых сообщений в LinkedIn. Архив содержит один файл: родной 64-битный двоичный файл Intel Linux, написанный на Go и названный Предложение о работе в HSBC․pdf.
Интересно, что расширение файла не . Pdf. Это связано с тем, что очевидный символ точки в имени файла является ведущая точка представлен символом Юникода U+2024. Использование ведущей точки в имени файла, вероятно, было попыткой обмануть файловый менеджер, заставив его рассматривать файл как исполняемый файл, а не как PDF. Это может привести к тому, что файл будет запускаться при двойном щелчке вместо его открытия в программе просмотра PDF. При выполнении пользователю отображается PDF-файл-приманка с использованием XDG открыть, который откроет документ с помощью предпочитаемого пользователем средства просмотра PDF (см. рис. 3). Мы решили назвать этот загрузчик ELF OdicLoader, так как он играет ту же роль, что и IconicLoaders на других платформах, а полезная нагрузка загружается из OpenDrive.
OdicLoader сбрасывает фиктивный PDF-документ, отображает его с помощью системного средства просмотра PDF по умолчанию (см. рис. 2), а затем загружает бэкдор второго уровня из OpenDrive облачный сервис. Загруженный файл сохраняется в ~/.config/guiconfigd (ША-1: 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF). Мы называем этот бэкдор второго уровня SimplexTea.
На последнем шаге своего выполнения OdicLoader модифицирует ~ / .bash_profile, поэтому SimplexTea запускается с Bash, и его вывод отключен (~/.config/guiconfigd >/dev/null 2>&1).
SimplexTea — это бэкдор для Linux, написанный на C++. Как показано в Таблице 1, имена его классов очень похожи на имена функций, найденных в образце, с именем файла sysnetd, представленный VirusTotal из Румынии (SHA-1: F6760FB1F8B019AF2304EA6410001B63A1809F1D). Из-за сходства имен классов и функций между SimplexTea и sysnetd, мы считаем, что SimplexTea — это обновленная версия, переписанная с C на C++.
Таблица 1. Сравнение имен исходных символов двух бэкдоров Linux, отправленных на VirusTotal.
guiconfigd |
sysnetd |
CМсгкмд:: Старт (пусто) | MSG_Cmd |
CMsgБезопасноDel:: Старт (пусто) | MSG_Del |
CМсгДир:: Старт (пусто) | MSG_Dir |
CСообщениевниз:: Старт (пусто) | MSG_Down |
CСообщениеВыход:: Старт (пусто) | MSG_Выход |
CМсгреадконфиг:: Старт (пусто) | MSG_ReadConfig |
CМсгРун:: Старт (пусто) | MSG_Run |
CМсгсетпас:: Старт (пусто) | MSG_SetPath |
CСообщениеSleep:: Старт (пусто) | MSG_Сон |
CМсгтест:: Старт (пусто) | MSG_Test |
Cсообщение:: Старт (пусто) | MSG_Up |
CMsgWriteConfig:: Старт (пусто) | MSG_WriteConfig |
MSG_GetComInfo | |
CMsgHibernate:: Старт (пусто) | |
CMsgKeepCon:: Старт (пусто) | |
CMsgZipDown:: Старт (пусто) | |
CMsgZip::StartZip(пусто *) | |
CMsgZip:: Старт (пусто) | |
CHttpWrapper::RecvData(uchar *&,uint *,uint,signed char) | |
Получение сообщения | |
CHttpWrapper::ОтправитьСообщение(_MSG_STRUCT *) | ОтправитьСообщение |
CHttpWrapper::SendData(uchar *,uint,uint) | |
CHttpWrapper::SendMsg(uint,uint,uchar *,uint,uint) | |
CHttpWrapper::SendLoginData(uchar *,uint,uchar *&,uint *) |
Как sysnetd связаны с Лазарем? В следующем разделе показано сходство с бэкдором Lazarus для Windows под названием BADCALL.
BADCALL для Linux
Мы приписываем sysnetd в Lazarus из-за его сходства со следующими двумя файлами (и мы считаем, что sysnetd представляет собой Linux-вариант бэкдора группы для Windows под названием BADCALL):
- P2P_DLL.dll (ША-1: 65122E5129FC74D6B5EBAFCC3376ABAE0145BC14), который показывает сходство кода с sysnetd в виде доменов, используемых в качестве прикрытия для поддельного TLS-соединения (см. рис. 4). CISA приписала его Лазарю в Декабрь 2017. От сентябрю 2019, CISA стала называть более новые версии этой вредоносной программы BADCALL (SHA-1: D288766FA268BC2534F85FD06A5D52264E646C47).
- пртспул (ША-1: 58B0516D28BD7218B1908FB266B8FE7582E22A5F), который показывает сходство кода с sysnetd (см. рис. 5). Он был приписан Лазарю CISA в феврале 2021 года. Также обратите внимание, что SIMPLESEA, бэкдор для macOS, обнаруженный во время реагирования на инцидент 3CX, реализует A5 / 1 потоковый шифр.
Это Linux-версия бэкдора BADCALL, sysnetd, загружает свою конфигурацию из файла с именем /tmp/vgauthsvclog. Поскольку операторы Lazarus ранее маскировали свои полезные нагрузки, использование этого имени, используемого службой гостевой аутентификации VMware, предполагает, что целевой системой может быть виртуальная машина Linux VMware. Интересно, что ключ XOR в данном случае такой же, как и в SIMPLESEA из расследования 3CX.
Взглянув на три 32-битных целых числа, 0xC2B45678, 0x90ABCDEFи 0xFE268455 из рисунка 5, который представляет собой ключ для пользовательской реализации шифра A5/1, мы поняли, что тот же алгоритм и идентичные ключи использовались в вредоносных программах для Windows, выпущенных в конце 2014 года и участвовавших в одной из самых печально известные дела Lazarus: киберсаботаж Sony Pictures Entertainment (SHA-1: 1C66E67A8531E3FF1C64AE57E6EDFDE7BEF2352D).
Дополнительные точки данных атрибуции
Подводя итог тому, что мы рассмотрели до сих пор, мы приписываем атаку на цепочку поставок 3CX группе Lazarus с высокой степенью уверенности. Это основано на следующих факторах:
- Вредоносное ПО (набор вторжений):
- IconicLoader (samcli.dll) использует тот же тип стойкого шифрования — AES-GCM — что и SimplexTea (отнесение которого к Lazarus было установлено по сходству с BALLCALL для Linux); различаются только ключи и векторы инициализации.
- На основе расширенных заголовков PE оба IconicLoader (samcli.dll) и IconicStealer (sechost.dll) представляют собой проекты аналогичного размера и компилируются в той же среде Visual Studio, что и исполняемые файлы. iertutil.dll (ША-1: 5B03294B72C0CAA5FB20E7817002C600645EB475) и расширение iertutil.dll (ША-1: 7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC) сообщил в кампаниях по криптовалюте Lazarus Volexity и Microsoft. Мы включаем ниже правило YARA RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023, который помечает все эти образцы и не содержит несвязанных вредоносных или чистых файлов, как было протестировано в текущих базах данных ESET и последних отправленных материалах VirusTotal.
- Полезная нагрузка SimplexTea загружает свою конфигурацию способом, очень похожим на вредоносное ПО SIMPLESEA из официального ответа 3CX на инцидент. Ключ XOR отличается (0x5E против 0x7E), но конфигурация носит то же имя: apdl.cf (см. рисунок 8).
- Инфраструктура:
- У SimplexTea есть общая сетевая инфраструктура, так как она использует https://journalide[.]org/djour.php как это C&C, чей домен указан в официальные результаты о реагировании на инцидент компрометации 3CX со стороны Mandiant.
Заключение
Компрометация 3CX привлекла большое внимание сообщества безопасности с момента ее раскрытия 29 марта.th. Это скомпрометированное программное обеспечение, развернутое в различных ИТ-инфраструктурах и позволяющее загружать и выполнять любую полезную нагрузку, может иметь разрушительные последствия. К сожалению, ни один издатель программного обеспечения не застрахован от компрометации и непреднамеренного распространения троянских версий своих приложений.
Скрытность атаки на цепочку поставок делает этот метод распространения вредоносных программ очень привлекательным с точки зрения злоумышленника. Лазарь уже использовал этот метод в прошлом, нацеленный на южнокорейских пользователей программного обеспечения WIZVERA VeraPort в 2020 году. Сходство с существующим вредоносным ПО из набора инструментов Lazarus и с типичными методами группы убедительно свидетельствует о том, что недавний взлом 3CX также является работой Lazarus.
Также интересно отметить, что Lazarus может создавать и использовать вредоносное ПО для всех основных настольных операционных систем: Windows, macOS и Linux. Во время инцидента с 3CX пострадали как системы Windows, так и macOS, при этом программное обеспечение 3CX VoIP для обеих операционных систем было троянизировано, чтобы включать вредоносный код для получения произвольной полезной нагрузки. В случае с 3CX существуют версии вредоносного ПО второй стадии как для Windows, так и для macOS. В этой статье демонстрируется наличие бэкдора для Linux, который, вероятно, соответствует вредоносному ПО SIMPLESEA для macOS, замеченному в инциденте с 3CX. Мы назвали этот компонент Linux SimplexTea и показали, что он является частью операции DreamJob, флагманской кампании Lazarus, использующей предложения о работе для заманивания и компрометации ничего не подозревающих жертв.
ESET Research предлагает частные аналитические отчеты об APT и потоки данных. По любым вопросам, связанным с этой услугой, посетите ESET Аналитика угроз стр.
МНК
Файлы
SHA-1 | Имя файла | Имя обнаружения ESET | Описание |
---|---|---|---|
0CA1723AFE261CD85B05C9EF424FC50290DCE7DF | guiconfigd | Linux/NukeSped.E | SimplexTea для Linux. |
3A63477A078CE10E53DFB5639E35D74F93CEFA81 | HSBC_job_offer․pdf | Linux/NukeSped.E | OdicLoader, 64-битный загрузчик для Linux, написанный на Go. |
9D8BADE2030C93D0A010AA57B90915EB7D99EC82 | HSBC_job_offer.pdf.zip | Linux/NukeSped.E | ZIP-архив с полезной нагрузкой Linux от VirusTotal. |
F6760FB1F8B019AF2304EA6410001B63A1809F1D | sysnetd | Linux/NukeSped.G | BADCALL для Linux. |
Впервые увидели | 2023-03-20 12:00:35 |
---|---|
MD5 | CEDB9CDBAD254F60CFB215B9BFF84FB9 |
SHA-1 | 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF |
SHA-256 | EEBB01932DE0B5605DD460CC82844D8693C00EA8AB5FFDF8DBEDE6528C1C18FD |
Имя файла | guiconfigd |
Описание | SimplexTea для Linux. |
C&C | https://journalide[.]org/djour.php |
Скачано от | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
обнаружение | Linux/NukeSped.E |
Отметка времени компиляции PE | Нет |
Впервые увидели | 2023-03-16 07:44:18 |
---|---|
MD5 | 3CF7232E5185109321921046D039CF10 |
SHA-1 | 3A63477A078CE10E53DFB5639E35D74F93CEFA81 |
SHA-256 | 492A643BD1EFDACA4CA125ADE1B606E7BBF00E995AC9115AC84D1C4C59CB66DD |
Имя файла | HSBC_job_offer․pdf |
Описание | OdicLoader, 64-битный загрузчик для Linux, в Go. |
C&C | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
Скачано от | Нет |
обнаружение | Linux/NukeSped.E |
Отметка времени компиляции PE | Нет |
Впервые увидели | 2023-03-20 02:23:29 |
---|---|
MD5 | FC41CB8425B6432AF8403959BB59430D |
SHA-1 | 9D8BADE2030C93D0A010AA57B90915EB7D99EC82 |
SHA-256 | F638E5A20114019AD066DD0E856F97FD865798D8FBED1766662D970BEFF652CA |
Имя файла | HSBC_job_offer.pdf.zip |
Описание | ZIP-архив с полезной нагрузкой Linux от VirusTotal. |
C&C | Нет |
Скачано от | Нет |
обнаружение | Linux/NukeSped.E |
Отметка времени компиляции PE | Нет |
Впервые увидели | 2023-02-01 23:47:05 |
---|---|
MD5 | AAC5A52B939F3FE792726A13FF7A1747 |
SHA-1 | F6760FB1F8B019AF2304EA6410001B63A1809F1D |
SHA-256 | CC307CFB401D1AE616445E78B610AB72E1C7FB49B298EA003DD26EA80372089A |
Имя файла | sysnetd |
Описание | BADCALL для Linux. |
C&C | TCP://23.254.211[.]230 |
Скачано от | Нет |
обнаружение | Linux/NukeSped.G |
Отметка времени компиляции PE | Нет |
Cеть
IP-адрес | Домен | Хостинг провайдер | Впервые увидели | Подробнее |
---|---|---|---|---|
23.254.211[.]230 | Нет | ООО Хоствиндс. | Нет | C&C-сервер для BADCALL для Linux |
38.108.185[.]79 38.108.185[.]115 |
од[.]лк | Cogent Communications | 2023-03-16 | Удаленное хранилище OpenDrive, содержащее SimplexTea (/d/NTJfMzg4MDE1NzJf/vxmedia) |
172.93.201[.]88 | журналиде[.]орг | Нексон Технолоджис, Инк. | 2023-03-29 | C&C-сервер для SimplexTea (/djour.php) |
Техники MITER ATT & CK
тактика | ID | Имя | Описание |
---|---|---|---|
разведывательный | T1593.001 | Поиск открытых веб-сайтов/доменов: социальные сети | Злоумышленники Lazarus, вероятно, обратились к цели с поддельным предложением о работе в стиле HSBC, которое соответствовало интересам цели. Раньше это делалось в основном через LinkedIn. |
Развитие ресурсов | T1584.001 | Приобретение инфраструктуры: домены | В отличие от многих предыдущих случаев компрометации C&C, использованных в операции DreamJob, операторы Lazarus зарегистрировали собственный домен для цели Linux. |
T1587.001 | Возможности развития: вредоносное ПО | Пользовательские инструменты атаки, скорее всего, разработаны злоумышленниками. | |
T1585.003 | Создание учетных записей: облачные учетные записи | Заключительный этап злоумышленники разместили на облачном сервисе OpenDrive. | |
T1608.001 | Возможности этапа: загрузка вредоносного ПО | Заключительный этап злоумышленники разместили на облачном сервисе OpenDrive. | |
Типы | T1204.002 | Пользовательское выполнение: вредоносный файл | OdicLoader маскируется под файл PDF, чтобы обмануть цель. |
Первоначальный доступ | T1566.002 | Фишинг: Целевая фишинговая ссылка | Цель, вероятно, получила ссылку на стороннее удаленное хранилище с вредоносным ZIP-архивом, который позже был отправлен на VirusTotal. |
Настойчивость | T1546.004 | Выполнение, инициируемое событием: изменение конфигурации оболочки Unix | OdicLoader изменяет профиль Bash жертвы, поэтому SimplexTea запускается каждый раз, когда Bash смотрит, и его вывод отключается. |
Уклонение от защиты | T1134.002 | Управление токеном доступа: создание процесса с токеном | SimplexTea может создать новый процесс по указанию своего C&C-сервера. |
T1140 | Деобфускация/декодирование файлов или информации | SimplexTea хранит свою конфигурацию в зашифрованном apdl.cf. | |
T1027.009 | Замаскированные файлы или информация: встроенные полезные нагрузки | Дропперы всех вредоносных цепочек содержат встроенный массив данных с дополнительным этапом. | |
T1562.003 | Ухудшение защиты: ведение журнала истории команд Impair | OdicLoader изменяет профиль Bash жертвы, поэтому выходные данные и сообщения об ошибках от SimplexTea приглушаются. SimplexTea выполняет новые процессы с той же техникой. | |
T1070.004 | Удаление индикатора: удаление файла | SimplexTea имеет возможность безопасного удаления файлов. | |
T1497.003 | Уклонение от виртуализации/песочницы: уклонение по времени | SimplexTea реализует несколько настраиваемых задержек сна при выполнении. | |
Открытие | T1083 | Обнаружение файлов и каталогов | SimplexTea может отображать содержимое каталогов вместе с их именами, размерами и отметками времени (имитируя ls -la команда). |
Управление и контроль | T1071.001 | Протокол прикладного уровня: веб-протоколы | SimplexTea может использовать HTTP и HTTPS для связи со своим C&C-сервером, используя статически связанную библиотеку Curl. |
T1573.001 | Зашифрованный канал: симметричная криптография | SimplexTea шифрует трафик C&C с помощью алгоритма AES-GCM. | |
T1132.001 | Кодирование данных: стандартное кодирование | SimplexTea кодирует трафик C&C с использованием base64. | |
T1090 | доверенное лицо | SimplexTea может использовать прокси для связи. | |
эксфильтрации | T1041 | Эксфильтрация через канал C2 | SimplexTea может передавать данные в виде ZIP-архивов на свой C&C-сервер. |
Приложение
Это правило YARA помечает кластер, содержащий как IconicLoader, так и IconicStealer, а также полезные нагрузки, развернутые в криптовалютных кампаниях с декабря 2022 года.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
/* The following rule will only work with YARA version >= 3.11.0 */ import “pe” rule RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023 { meta: description = ” Rich Headers-based rule covering the IconicLoader and IconicStealer from the 3CX supply chain incident, and also payloads from the cryptocurrency campaigns from 2022-12″ author = “ESET Research” date = “2023-03-31” hash = “3B88CDA62CDD918B62EF5AA8C5A73A46F176D18B” hash = “CAD1120D91B812ACAFEF7175F949DD1B09C6C21A” hash = “5B03294B72C0CAA5FB20E7817002C600645EB475” hash = “7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC” condition: pe.rich_signature.toolid(259, 30818) == 9 and pe.rich_signature.toolid(256, 31329) == 1 and pe.rich_signature.toolid(261, 30818) >= 30 and pe.rich_signature.toolid(261, 30818) <= 38 and pe.rich_signature.toolid(261, 29395) >= 134 and pe.rich_signature.toolid(261, 29395) <= 164 and pe.rich_signature.toolid(257, 29395) >= 6 and pe.rich_signature.toolid(257, 29395) <= 14 } |
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Чеканка будущего с Эдриенн Эшли. Доступ здесь.
- Источник: https://www.welivesecurity.com/2023/04/20/linux-malware-strengthens-links-lazarus-3cx-supply-chain-attack/
- :имеет
- :является
- :нет
- $UP
- 000
- 000 клиентов
- 1
- 11
- 20
- 2014
- 2020
- 2021
- 2022
- 2023
- 39
- 7
- 8
- 9
- a
- способность
- в состоянии
- О нас
- выше
- По
- Учетная запись
- Учетные записи
- деятельность
- актеры
- добавленный
- дополнительный
- Аэрокосмическая индустрия
- затрагивающий
- против
- алгоритм
- Все
- позволяет
- рядом
- уже
- причислены
- среди
- an
- Аналитики
- и
- Другой
- любой
- приложение
- очевидный
- привлекательный
- Применение
- Приложения
- приближается
- апрель
- APT
- архив
- МЫ
- Аргентина
- массив
- гайд
- статьи
- AS
- At
- атаковать
- нападки
- внимание
- Август
- Аутентификация
- автор
- назад
- задняя дверь
- Черные ходы
- поддержка
- Плохой
- основанный
- колотить
- BE
- Медведи
- , так как:
- было
- до
- начало
- за
- не являетесь
- верить
- ниже
- между
- изоферменты печени
- Бразилия
- браузер
- by
- C + +
- призывают
- под названием
- Кампания
- Кампании
- CAN
- не могу
- возможности
- случаев
- случаев
- Вызывать
- цепь
- цепи
- Канал
- персонаж
- шифр
- CISO
- утверждать
- класс
- клиент
- облако
- облачного хранения
- Кластер
- код
- придумано
- COM
- Общий
- Связь
- Связь
- сообщество
- Компании
- Компания
- Компании
- сравнение
- зАВЕРШАЕТ
- комплекс
- компонент
- скомпрометированы
- Ослабленный
- состояние
- проводятся
- доверие
- Конфигурация
- подтвердить
- подключенный
- связи
- обращайтесь
- содержать
- содержит
- содержание
- способствовать
- соответствует
- подкреплять
- может
- страна
- покрытый
- покрытие
- Создайте
- создали
- криптовалюта
- Текущий
- В настоящее время
- изготовленный на заказ
- Клиенты
- данным
- базы данных
- Время
- Финики
- Дней
- мертвый
- Декабрь
- решенный
- По умолчанию
- Защитники
- Защита
- задержки
- обеспечивает
- убивают
- демонстрирует
- развернуть
- развертывание
- глубина
- описание
- компьютера
- подробность
- обнаружение
- Определять
- определены
- разрушительный
- развитый
- Застройщик
- DID
- отличаться
- направлять
- непосредственно
- раскрытие
- открытый
- открытие
- дисплеев
- распространять
- распределенный
- распределительный
- распределение
- документ
- домен
- доменов
- DOT
- скачать
- загрузок
- управляемый
- Падение
- Капли
- дублированный
- в течение
- каждый
- Рано
- встроенный
- включен
- зашифрованный
- шифрование
- инженер
- Проект и
- Развлечения
- Окружающая среда
- ошибка
- Исследования ESET
- установленный
- Даже
- События
- , поскольку большинство сенаторов
- Выполняет
- выполнение
- существующий
- Объяснять
- объяснены
- расширение
- и, что лучший способ
- извлечение
- факторы
- не настоящие
- февраль
- Получено
- несколько
- фигура
- Файл
- Файлы
- окончательный
- Во-первых,
- соответствовать
- Флаги
- флагман
- следует
- после
- Что касается
- форма
- формат
- найденный
- от
- передний
- полный
- функция
- ГРУЗИИ
- получить
- GitHub
- данный
- Go
- группы
- Группы
- GUEST
- хэш
- Есть
- he
- Заголовки
- Последние новости
- здравоохранение
- помощь
- помог
- Спрятать
- High
- Выделенные
- история
- гостеприимство
- состоялся
- Как
- Однако
- HSBC
- HTML
- HTTP
- HTTPS
- идентичный
- Воздействие
- реализация
- инвентарь
- Импортировать
- in
- инцидент
- реакция на инцидент
- включают
- В том числе
- промышленность
- позорный
- информация
- Инфраструктура
- инфраструктура
- первоначально
- Запросы
- установлен
- вместо
- Intel
- Интеллекта
- интерес
- интересный
- Мультиязычность
- в
- исследовать
- ходе расследования,
- вовлеченный
- IT
- ЕГО
- саму трезвость
- январь
- работа
- JOE
- июль
- Kaspersky
- Основные
- ключи
- Вид
- знания
- Корейский
- Фамилия
- В прошлом году
- Поздно
- запустили
- слой
- Лазарь
- Лазарь Групп
- лидер
- Лидеры
- уровень
- Библиотека
- Вероятно
- LINK
- связанный
- связи
- Linux
- Список
- ООО
- загрузчик
- погрузка
- грузы
- Длинное
- посмотреть
- серия
- машина
- Продукция
- MacOS
- сделанный
- основной
- ДЕЛАЕТ
- вредоносных программ
- менеджер
- Манипуляция
- многих
- карта
- Март
- макс-ширина
- Май..
- упомянутый
- Сообщения
- Мета
- Метаданные
- метод
- Microsoft
- может быть
- военный
- Мобильный телефон
- Мобильное приложение
- БОЛЕЕ
- самых
- с разными
- таинственный
- имя
- Названный
- а именно
- имена
- родной
- ни
- сеть
- Новые
- следующий
- север
- печально известный
- of
- предлагают
- Предложения
- Официальный представитель в Грузии
- on
- ONE
- постоянный
- только
- открытый
- открытие
- операционный
- операционные системы
- операция
- Операторы
- or
- заказ
- организации
- оригинал
- Другое
- наши
- выходной
- за
- собственный
- P&E
- страница
- бумага & картон
- часть
- мимо
- перспектива
- Телефон
- Картинки
- запланированный
- Платформы
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- пожалуйста
- привилегированный
- присутствие
- предыдущий
- предварительно
- Предварительный
- частная
- вероятно
- процесс
- Процессы
- производит
- Профиль
- проектов
- протокол
- обеспечивать
- при условии
- приводит
- обеспечение
- полномочие
- что такое варган?
- публично
- опубликованный
- издатель
- быстро
- скорее
- реализованный
- резюме
- получила
- последний
- недавно
- Reddit.
- зарегистрированный
- Связанный
- отношения
- удаленные
- удаление
- отчету
- Сообщается
- Отчеты
- представлять
- представленный
- исследованиям
- исследователь
- исследователи
- ответ
- Показали
- Богатые
- Роли
- Румыния
- Правило
- Run
- Бег
- то же
- секунды
- Раздел
- Сектора юридического права
- безопасно
- безопасность
- Серии
- Серверы
- обслуживание
- Услуги
- набор
- несколько
- общие
- Оболочка
- Шоу
- подписанный
- значительный
- аналогичный
- сходство
- с
- одинарной
- Размер
- Размеры
- спать
- So
- уже
- Соцсети
- Социальная инженерия
- Software
- некоторые
- удалось
- Sony
- Южная
- южнокорейский
- конкретный
- Этап
- этапы
- стандарт
- и политические лидеры
- Области
- Шаг
- диск
- хранить
- магазины
- поток
- УКРЕПЛЯТЬ
- укрепляет
- сильный
- сильно
- студия
- Материалы
- представленный
- существенный
- Предлагает
- поставка
- цепочками поставок
- символ
- синтаксис
- система
- системы
- ТАБЛИЦЫ
- цель
- целевое
- направлены
- направлена против
- Технический
- снижения вреда
- технологии
- чем
- который
- Ассоциация
- их
- Их
- сами
- Эти
- сторонние
- этой
- угроза
- актеры угрозы
- три
- Через
- время
- Сроки
- тип
- в
- вместе
- знак
- инструментом
- инструменты
- трафик
- лечения
- срабатывает
- типичный
- оформление
- Юникс
- Обновление ПО
- обновление
- URL
- us
- использование
- используемый
- Информация о пользователе
- пользователей
- использовать
- Вариант
- различный
- продавец
- версия
- с помощью
- Жертва
- жертвы
- Виртуальный
- виртуальная машина
- Войти
- VMware
- vs
- Уордль
- законопроект
- Путь..
- we
- Web
- веб-браузер
- Вебсайт
- Недели
- ЧТО Ж
- были
- Что
- будь то
- который
- широкий
- Википедия.
- будете
- окна
- Работа
- бы
- заворачивать
- письменный
- год
- зефирнет
- ZIP