Podobnosti z novo odkrito zlonamerno programsko opremo Linux, uporabljeno v operaciji DreamJob, potrjujejo teorijo, da za napadom na dobavno verigo 3CX stoji zloglasna skupina, povezana s Severno Korejo.
ESET-ovi raziskovalci so odkrili novo kampanjo Lazarus Operation DreamJob, ki cilja na uporabnike Linuxa. Operacija DreamJob je ime za serijo kampanj, kjer skupina uporablja tehnike socialnega inženiringa, da bi ogrozila svoje tarče, z lažnimi ponudbami za delo kot vabo. V tem primeru nam je uspelo rekonstruirati celotno verigo, od datoteke ZIP, ki prinaša lažno ponudbo za delo HSBC kot vabo, do končnega tovora: stranska vrata SimplexTea Linux, distribuirana prek OpenDrive račun za shranjevanje v oblaku. Kolikor nam je znano, je to prva javna omemba tega glavnega akterja grožnje, povezanega s Severno Korejo, ki uporablja zlonamerno programsko opremo Linux kot del te operacije.
Poleg tega nam je to odkritje pomagalo potrditi z visoko stopnjo zaupanja, da je nedavni napad na dobavno verigo 3CX dejansko izvedel Lazarus – povezava, ki je bila sumljiva že od samega začetka in jo je od takrat dokazalo več varnostnih raziskovalcev. V tem blogu potrjujemo te ugotovitve in nudimo dodatne dokaze o povezavi med Lazarusom in napadom na dobavno verigo 3CX.
Napad na dobavno verigo 3CX
3CX je mednarodni razvijalec in distributer programske opreme VoIP, ki ponuja storitve telefonskega sistema številnim organizacijam. Glede na spletno stran ima 3CX več kot 600,000 strank in 12,000,000 uporabnikov v različnih sektorjih, vključno z vesoljstvom, zdravstvom in gostinstvom. Ponuja odjemalsko programsko opremo za uporabo svojih sistemov prek spletnega brskalnika, mobilne aplikacije ali namizne aplikacije. Konec marca 2023 je bilo odkrito, da je namizna aplikacija za Windows in macOS vsebovala zlonamerno kodo, ki je skupini napadalcev omogočila prenos in zagon poljubne kode na vseh računalnikih, kjer je bila aplikacija nameščena. Hitro je bilo ugotovljeno, da te zlonamerne kode ni dodal 3CX sam, ampak da je bil 3CX ogrožen in da je bila njegova programska oprema uporabljena v napadu na dobavno verigo, ki so ga vodili zunanji akterji groženj za distribucijo dodatne zlonamerne programske opreme določenim strankam 3CX.
Ta kibernetski incident je v zadnjih dneh prišel na naslovnice. Prvotno poročano 29. marcath, 2023 v a Reddit nit inženirja CrowdStrike, čemur sledi uradno poročilo CrowdStrike, ki z veliko zanesljivostjo navaja, da za napadom stoji LABIRINTH CHOLLIMA, kodno ime podjetja za Lazarus (vendar brez dokazov, ki bi podprli trditev). Zaradi resnosti dogodka je svoje povzetke dogodkov začelo prispevati več varnostnih podjetij, in sicer Sophos, Check Point, Broadcom, Trend Micro, In še več.
Poleg tega je bil del napada, ki vpliva na sisteme z operacijskim sistemom macOS, podrobno zajet v a Twitter nit in a blogpost avtorja Patrick Wardle.
Časovnica dogodkov
Časovnica kaže, da so storilci napade načrtovali veliko pred izvršitvijo; že decembra 2022. To nakazuje, da so konec lanskega leta že imeli oporo v omrežju 3CX.
Medtem ko trojanizirana aplikacija 3CX macOS kaže, da je bila podpisana konec januarja, smo slabo aplikacijo v naši telemetriji videli šele 14. februarjath, 2023. Ni jasno, ali je bila zlonamerna posodobitev za macOS distribuirana pred tem datumom.
Čeprav telemetrija ESET že februarja kaže na obstoj koristnega tovora druge stopnje macOS, nismo imeli samega vzorca niti metapodatkov, ki bi nam namigovali o njegovi zlonamernosti. Te podatke vključimo, da zagovornikom pomagamo ugotoviti, kako daleč nazaj so bili sistemi morda ogroženi.
Nekaj dni preden je bil napad javno razkrit, je bil VirusTotalu predložen skrivnostni prenosnik Linuxa. Prenese novo zlonamerno koristno obremenitev Lazarus za Linux in kasneje v besedilu razložimo njegov odnos do napada.
Pripis napada na dobavno verigo 3CX Lazarusu
Kaj je že objavljeno
Obstaja ena domena, ki igra pomembno vlogo pri našem sklepanju o dodeljevanju: journalide[.]org. Omenjen je v nekaterih poročilih prodajalcev, povezanih zgoraj, vendar njegova prisotnost ni nikoli pojasnjena. Zanimivo, članki avtorjev SentinelOne in ObjectiveSee ne omenjaj te domene. Prav tako ne objava v blogu avtorja Voleksnost, ki se je celo vzdržala podajanja avtorstva, navajajoč "Volexity trenutno ne more preslikati razkrite dejavnosti na nobenega akterja grožnje". Njegovi analitiki so bili med prvimi, ki so poglobljeno raziskali napad, in ustvarili orodje za pridobivanje seznama C&C strežnikov iz šifriranih ikon na GitHubu. To orodje je uporabno, saj napadalci niso vdelali strežnikov C&C neposredno v vmesne faze, temveč so uporabili GitHub kot razreševalec mrtvega padca. Vmesne stopnje so prenosniki za Windows in macOS, ki jih označujemo kot IconicLoaders, koristne obremenitve, ki jih dobijo, pa kot IconicStealer oziroma UpdateAgent.
Marca 30th, Joe Desimone, varnostni raziskovalec iz Elastična varnost, je med prvimi zagotovil, v a Twitter nit, pomembne namige, da so kompromisi, ki jih poganja 3CX, verjetno povezani z Lazarusom. Opazil je, da je pred obremenitvijo dodana lupinska koda d3dcompiler_47.dll je podoben škrbinam nalagalnika AppleJeus, ki jih Lazarju pripisuje CISA v aprilu 2021.
Marca 31st bilo je počutje poročali da je 3CX zadržal Mandiant za zagotavljanje storitev odzivanja na incidente v zvezi z napadom v dobavni verigi.
Aprila 3rd, Kasperskyje s svojo telemetrijo pokazal neposredno povezavo med žrtvami dobavne verige 3CX in uvedbo zakulisnih vrat, imenovanih Gopuram, pri čemer sta oba vključevala tovor s skupnim imenom, guard64.dll. Podatki družbe Kaspersky kažejo, da je Gopuram povezan z Lazarusom, ker je soobstajal na strojih žrtev AppleJeus, zlonamerna programska oprema, ki je bila že pripisana Lazarusu. Tako Gopuram kot AppleJeus sta bila opažena pri napadih na podjetje za kriptovalute.
Nato pa 11. aprilath, CISO podjetja 3CX je Mandiantove vmesne ugotovitve povzel v a blogpost. Po tem poročilu sta bila dva vzorca zlonamerne programske opreme Windows, nalagalnik lupinske kode, imenovan TAXHAUL, in zapleten prenosnik, imenovan COLDCAT, vpletena v ogrožanje 3CX. Zagotovljenih ni bilo nobenih zgoščenih vrednosti, vendar se Mandiantovo pravilo YARA, imenovano TAXHAUL, sproži tudi na drugih vzorcih, ki so že na VirusTotal:
- SHA-1: 2ACC6F1D4656978F4D503929B8C804530D7E7CF6 (ualapi.dll),
- SHA-1: DCEF83D8EE080B54DC54759C59F955E73D67AA65 (wlbsctrl.dll)
Imena datotek, vendar ne MD5, teh vzorcev sovpadajo s tistimi iz spletne objave družbe Kaspersky. Vendar pa 3CX izrecno navaja, da se COLDCAT razlikuje od Gopurama.
Naslednji razdelek vsebuje tehnični opis novega zlonamernega koristnega tovora Lazarus za Linux, ki smo ga nedavno analizirali, pa tudi, kako nam je pomagal okrepiti obstoječo povezavo med Lazarusom in kompromisom 3CX.
Operacija DreamJob z obremenitvijo Linuxa
Operacija DreamJob skupine Lazarus vključuje približevanje tarčam prek LinkedIna in njihovo skušnjavo s ponudbami za delo vodilnih v industriji. Ime je skoval ClearSky v a papirja objavljeno avgusta 2020. Ta članek opisuje kampanjo kibernetskega vohunjenja Lazarus, ki cilja na obrambna in vesoljska podjetja. Dejavnost se prekriva s tem, čemur pravimo Operacija Prestrezanje, vrsto napadov kibernetskega vohunjenja, ki trajajo vsaj od september 2019. Cilja na vesoljska, vojaška in obrambna podjetja ter uporablja posebna zlonamerna orodja, sprva samo za Windows. Julija in avgusta 2022 smo odkrili dva primera operacije In(ter)ception, ki sta ciljala na macOS. En vzorec zlonamerne programske opreme je bil poslan VirusTotal iz Brazilije, drug napad pa je bil usmerjen na uporabnika ESET v Argentini. Pred nekaj tedni je bila na VirusTotal najdena izvorna vsebina Linuxa z vabo PDF na temo HSBC. To dopolnjuje Lazarusovo sposobnost ciljanja na vse glavne namizne operacijske sisteme.
Marca 20th, je uporabnik v državi Georgia poslal VirusTotal arhiv ZIP, imenovan HSBC job offer.pdf.zip. Glede na druge kampanje DreamJob, ki jih je izvedel Lazarus, je bil ta tovor verjetno razdeljen prek podvodnega lažnega predstavljanja ali neposrednih sporočil na LinkedInu. Arhiv vsebuje eno samo datoteko: izvorno 64-bitno dvojiško datoteko Intel Linux, napisano v Go in imenovano Ponudba za delo HSBC․pdf.
Zanimivo je, da končnica datoteke ni . Pdf. To je zato, ker je navidezna pika v imenu datoteke a vodilna pika predstavljen z znakom U+2024 Unicode. Uporaba glavne pike v imenu datoteke je bila verjetno poskus pretentanja upravitelja datotek, da bi datoteko obravnaval kot izvršljivo namesto kot PDF. To lahko povzroči, da se datoteka zažene ob dvojnem kliku, namesto da bi jo odprli s pregledovalnikom PDF. Pri izvedbi se uporabniku z uporabo vabe prikaže PDF xdg-odprt, ki bo odprl dokument z uporabo uporabnikovega želenega pregledovalnika PDF (glejte sliko 3). Odločili smo se, da bomo ta prenosnik ELF poimenovali OdicLoader, saj ima podobno vlogo kot IconicLoaders na drugih platformah, koristni tovor pa je pridobljen iz OpenDrive.
OdicLoader spusti lažni dokument PDF, ga prikaže s sistemskim privzetim pregledovalnikom PDF (glejte sliko 2) in nato prenese stranska vrata druge stopnje iz OpenDrive storitev v oblaku. Prenesena datoteka je shranjena v ~/.config/guiconfigd (SHA-1: 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF). To stransko stransko stran druge stopnje imenujemo SimplexTea.
Kot zadnji korak svoje izvedbe se OdicLoader spremeni ~ / .bash_profile, zato se SimplexTea zažene z Bashom in njegov izhod je utišan (~/.config/guiconfigd >/dev/null 2>&1).
SimplexTea je stranska vrata Linuxa, napisana v C++. Kot je poudarjeno v tabeli 1, so imena njegovih razredov zelo podobna imenom funkcij, ki jih najdemo v vzorcu, z imenom datoteke sysnetd, poslano v VirusTotal iz Romunije (SHA-1: F6760FB1F8B019AF2304EA6410001B63A1809F1D). Zaradi podobnosti v imenih razredov in imenih funkcij med SimplexTea in sysnetd, menimo, da je SimplexTea posodobljena različica, prepisana iz C v C++.
Tabela 1. Primerjava izvirnih imen simbolov iz dveh stranskih vrat Linuxa, predloženih VirusTotalu
guiconfigd |
sysnetd |
CMsgCmd::Začetek(void) | MSG_Cmd |
CSporočVarnostOd::Začetek(void) | MSG_Del |
CMsgDir::Začetek(void) | MSG_Dir |
CMsgDown::Začetek(void) | MSG_Dol |
CSporočilo Izhod::Začetek(void) | MSG_Izhod |
CMsgReadConfig::Začetek(void) | MSG_ReadConfig |
CMsgRun::Začetek(void) | MSG_Run |
CMsgSetPath::Začetek(void) | MSG_SetPath |
CMsgSleep::Začetek(void) | MSG_Spanje |
CMsgTest::Začetek(void) | MSG_Test |
CMsgUp::Začetek(void) | MSG_Up |
CMsgWriteConfig::Začetek(void) | MSG_WriteConfig |
MSG_GetComInfo | |
CMsgHibernate::Start(void) | |
CMsgKeepCon::Start(void) | |
CMsgZipDown::Start(void) | |
CMsgZip::StartZip(void *) | |
CMsgZip::Start(void) | |
CHttpWrapper::RecvData(uchar *&,uint *,uint,signed char) | |
RecvMsg | |
CHttpWrapper::Pošlji sporočilo(_MSG_STRUCT *) | Pošlji sporočilo |
CHttpWrapper::SendData(uchar *,uint,uint) | |
CHttpWrapper::SendMsg(uint,uint,uchar *,uint,uint) | |
CHttpWrapper::SendLoginData(uchar *,uint,uchar *&,uint *) |
Kako je sysnetd povezano z Lazarjem? Naslednji razdelek prikazuje podobnosti z Lazarusovimi stranskimi vrati Windows, imenovanimi BADCALL.
BADCALL za Linux
Pripisujemo sysnetd Lazarusu zaradi podobnosti z naslednjima datotekama (in verjamemo, da sysnetd je Linux različica stranskih vrat skupine za Windows, imenovana BADCALL):
- P2P_DLL.dll (SHA-1: 65122E5129FC74D6B5EBAFCC3376ABAE0145BC14), ki prikazuje podobnosti kode z sysnetd v obliki domen, ki se uporabljajo kot paravan za lažno povezavo TLS (glej sliko 4). CISA ga je pripisala Lazarju leta december 2017. Od september 2019, je CISA začela novejše različice te zlonamerne programske opreme imenovati BADCALL (SHA-1: D288766FA268BC2534F85FD06A5D52264E646C47).
- prtspool (SHA-1: 58B0516D28BD7218B1908FB266B8FE7582E22A5F), ki prikazuje podobnosti kode z sysnetd (glej sliko 5). Lazarju so ga pripisali CISA februarja 2021. Upoštevajte tudi, da SIMPLESEA, stranska vrata za macOS, najdena med odzivom na incident 3CX, izvaja A5 / 1 tokovna šifra.
Ta različica backdoorja BADCALL za Linux, sysnetd, naloži svojo konfiguracijo iz datoteke z imenom /tmp/vgauthsvclog. Ker so operaterji Lazarusa že prej prikrili svoje koristne obremenitve, uporaba tega imena, ki ga uporablja storitev VMware Guest Authentication, nakazuje, da je lahko ciljni sistem virtualni stroj Linux VMware. Zanimivo je, da je ključ XOR v tem primeru enak tistemu, uporabljenemu v SIMPLESEA iz preiskave 3CX.
Če pogledamo tri 32-bitna cela števila, 0xC2B45678, 0x90ABCDEFin 0xFE268455 iz slike 5, ki predstavlja ključ za implementacijo šifre A5/1 po meri, smo ugotovili, da so bili enaki algoritem in enaki ključi uporabljeni v zlonamerni programski opremi Windows, ki izvira iz konca leta 2014 in je bila vpletena v enega najbolj zloglasni primeri Lazarus: kibernetska sabotaža Sony Pictures Entertainment (SHA-1: 1C66E67A8531E3FF1C64AE57E6EDFDE7BEF2352D).
Dodatne podatkovne točke dodeljevanja
Če povzamemo, kar smo zajeli do sedaj, napad na dobavno verigo 3CX z visoko stopnjo zaupanja pripisujemo skupini Lazarus. To temelji na naslednjih dejavnikih:
- Zlonamerna programska oprema (nabor vdorov):
- IconicLoader (samcli.dll) uporablja isto vrsto močnega šifriranja – AES-GCM – kot SimplexTea (katerega pripis Lazarju je bil ugotovljen na podlagi podobnosti z BALLCALL za Linux); razlikujejo se le ključi in inicializacijski vektorji.
- Na podlagi obogatenih glav PE sta oba IconicLoader (samcli.dll) in IconicStealer (sechost.dll) so projekti podobne velikosti in prevedeni v istem okolju Visual Studio kot izvršljive datoteke iertutil.dll (SHA-1: 5B03294B72C0CAA5FB20E7817002C600645EB475) in iertutil.dll (SHA-1: 7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC) poročal v kampanjah za kriptovalute Lazarus avtor Voleksnost in Microsoft. Spodaj vključujemo pravilo YARA RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023, ki označi vse te vzorce in nobenih nepovezanih zlonamernih ali čistih datotek, kot je bilo preizkušeno na trenutnih zbirkah podatkov ESET in nedavnih oddajah VirusTotal.
- Koristni tovor SimplexTea naloži svojo konfiguracijo na zelo podoben način kot zlonamerna programska oprema SIMPLESEA iz uradnega odziva na incident 3CX. Tipka XOR se razlikuje (0x5E vs 0x7E), vendar ima konfiguracija isto ime: apdl.cf (glej sliko 8).
- Infrastruktura:
- Obstaja skupna omrežna infrastruktura s SimplexTea, kot jo uporablja https://journalide[.]org/djour.php kot C&C, katerega domena je navedena v uradni rezultati odziva na incident kompromisa 3CX s strani Mandianta.
zaključek
Kompromis 3CX je pridobil veliko pozornosti varnostne skupnosti od njegovega razkritja 29. marcath. Ta ogrožena programska oprema, nameščena na različnih infrastrukturah IT, ki omogoča prenos in izvajanje katere koli vrste koristnega tovora, ima lahko uničujoče posledice. Na žalost noben založnik programske opreme ni imun na napade in nenamerno distribucijo trojanskih različic svojih aplikacij.
Zaradi prikritosti napada v dobavni verigi je ta metoda distribucije zlonamerne programske opreme zelo privlačna z vidika napadalca. Lazarus je že uporabil to tehniko v preteklosti ciljala na južnokorejske uporabnike programske opreme WIZVERA VeraPort leta 2020. Podobnosti z obstoječo zlonamerno programsko opremo iz nabora orodij Lazarus in s tipičnimi tehnikami skupine močno kažejo, da je nedavni kompromis 3CX prav tako delo Lazarusa.
Zanimivo je tudi, da lahko Lazarus proizvaja in uporablja zlonamerno programsko opremo za vse večje namizne operacijske sisteme: Windows, macOS in Linux. Med incidentom 3CX sta bila tarča sistema Windows in macOS, pri čemer je bila programska oprema VoIP podjetja 3CX za oba operacijska sistema trojanizirana, da je vključevala zlonamerno kodo za pridobivanje poljubnih koristnih podatkov. V primeru 3CX obstajata različici zlonamerne programske opreme druge stopnje Windows in macOS. Ta članek prikazuje obstoj stranskih vrat Linuxa, ki verjetno ustrezajo zlonamerni programski opremi SIMPLESEA za macOS, opaženi v incidentu 3CX. To komponento Linuxa smo poimenovali SimplexTea in pokazali, da je del operacije DreamJob, Lazarusove vodilne kampanje, ki uporablja ponudbe za delo, da privabi in ogrozi nič hudega sluteče žrtve.
ESET Research ponuja zasebna obveščevalna poročila APT in vire podatkov. Za vsa vprašanja o tej storitvi obiščite ESET Threat Intelligence stran.
IoC
datoteke
SHA-1 | Ime datoteke | Ime zaznavanja ESET | Opis |
---|---|---|---|
0CA1723AFE261CD85B05C9EF424FC50290DCE7DF | guiconfigd | Linux/NukeSped.E | SimplexTea za Linux. |
3A63477A078CE10E53DFB5639E35D74F93CEFA81 | HSBC_job_offer․pdf | Linux/NukeSped.E | OdicLoader, 64-bitni prenosnik za Linux, napisan v Go. |
9D8BADE2030C93D0A010AA57B90915EB7D99EC82 | HSBC_job_offer.pdf.zip | Linux/NukeSped.E | ZIP arhiv z vsebino Linuxa, od VirusTotal. |
F6760FB1F8B019AF2304EA6410001B63A1809F1D | sysnetd | Linux/NukeSped.G | BADCALL za Linux. |
Prvič viden | 2023-03-20 12:00:35 |
---|---|
MD5 | CEDB9CDBAD254F60CFB215B9BFF84FB9 |
SHA-1 | 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF |
SHA-256 | EEBB01932DE0B5605DD460CC82844D8693C00EA8AB5FFDF8DBEDE6528C1C18FD |
Ime datoteke | guiconfigd |
Opis | SimplexTea za Linux. |
C&C | https://journalide[.]org/djour.php |
prenesli iz | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
Odkrivanje | Linux/NukeSped.E |
Časovni žig prevajanja PE | N / A |
Prvič viden | 2023-03-16 07:44:18 |
---|---|
MD5 | 3CF7232E5185109321921046D039CF10 |
SHA-1 | 3A63477A078CE10E53DFB5639E35D74F93CEFA81 |
SHA-256 | 492A643BD1EFDACA4CA125ADE1B606E7BBF00E995AC9115AC84D1C4C59CB66DD |
Ime datoteke | HSBC_job_offer․pdf |
Opis | OdicLoader, 64-bitni prenosnik za Linux, v Go. |
C&C | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
prenesli iz | N / A |
Odkrivanje | Linux/NukeSped.E |
Časovni žig prevajanja PE | N / A |
Prvič viden | 2023-03-20 02:23:29 |
---|---|
MD5 | FC41CB8425B6432AF8403959BB59430D |
SHA-1 | 9D8BADE2030C93D0A010AA57B90915EB7D99EC82 |
SHA-256 | F638E5A20114019AD066DD0E856F97FD865798D8FBED1766662D970BEFF652CA |
Ime datoteke | HSBC_job_offer.pdf.zip |
Opis | ZIP arhiv z vsebino Linuxa, od VirusTotal. |
C&C | N / A |
prenesli iz | N / A |
Odkrivanje | Linux/NukeSped.E |
Časovni žig prevajanja PE | N / A |
Prvič viden | 2023-02-01 23:47:05 |
---|---|
MD5 | AAC5A52B939F3FE792726A13FF7A1747 |
SHA-1 | F6760FB1F8B019AF2304EA6410001B63A1809F1D |
SHA-256 | CC307CFB401D1AE616445E78B610AB72E1C7FB49B298EA003DD26EA80372089A |
Ime datoteke | sysnetd |
Opis | BADCALL za Linux. |
C&C | tcp://23.254.211[.]230 |
prenesli iz | N / A |
Odkrivanje | Linux/NukeSped.G |
Časovni žig prevajanja PE | N / A |
mreža
IP naslov | Domena | Ponudnik gostovanja | Prvič viden | podrobnosti |
---|---|---|---|---|
23.254.211[.]230 | N / A | Hostwinds LLC. | N / A | C&C strežnik za BADCALL za Linux |
38.108.185[.]79 38.108.185[.]115 |
od[.]lk | Cogent Communications | 2023-03-16 | Oddaljena shramba OpenDrive, ki vsebuje SimplexTea (/d/NTJfMzg4MDE1NzJf/vxmedia) |
172.93.201[.]88 | journalide[.]org | Nexeon Technologies, Inc. | 2023-03-29 | C&C strežnik za SimplexTea (/djour.php) |
Tehnike MITER ATT&CK
Taktika | ID | Ime | Opis |
---|---|---|---|
Izviđanje | T1593.001 | Iskanje po odprtih spletnih mestih/domenah: družbeni mediji | Napadalci na Lazarus so se verjetno približali tarči z lažno ponudbo za delo na temo HSBC, ki bi ustrezala interesom tarče. To se je v preteklosti večinoma izvajalo prek LinkedIna. |
Razvoj virov | T1584.001 | Pridobite infrastrukturo: Domene | Za razliko od mnogih prejšnjih primerov ogroženih C&C-jev, uporabljenih v operaciji DreamJob, so operaterji Lazarusa registrirali lastno domeno za cilj Linux. |
T1587.001 | Razviti zmogljivosti: zlonamerna programska oprema | Orodja po meri iz napada so zelo verjetno razvili napadalci. | |
T1585.003 | Vzpostavitev računov: računi v oblaku | Napadalci so zadnjo fazo gostili na storitvi v oblaku OpenDrive. | |
T1608.001 | Zmogljivosti stopnje: nalaganje zlonamerne programske opreme | Napadalci so zadnjo fazo gostili na storitvi v oblaku OpenDrive. | |
Izvedba | T1204.002 | Uporabniška izvedba: zlonamerna datoteka | OdicLoader se maskira v datoteko PDF, da bi preslepil tarčo. |
Začetni dostop | T1566.002 | Lažno predstavljanje: povezava do podvodnega lažnega predstavljanja | Tarča je verjetno prejela povezavo do oddaljenega pomnilnika tretjih oseb z zlonamernim arhivom ZIP, ki je bil pozneje poslan v VirusTotal. |
Vztrajnost | T1546.004 | Izvedba, ki jo sproži dogodek: sprememba konfiguracije lupine Unix | OdicLoader spremeni žrtvin profil Bash, tako da se SimplexTea zažene vsakič, ko je Bash strmljen, njegov izhod pa je utišan. |
Izmikanje obrambi | T1134.002 | Manipulacija žetonov za dostop: ustvarite proces z žetonom | SimplexTea lahko ustvari nov proces, če mu naroči njegov C&C strežnik. |
T1140 | Razmegljevanje/dekodiranje datotek ali informacij | SimplexTea shrani svojo konfiguracijo v šifrirano apdl.cf. | |
T1027.009 | Zakrite datoteke ali informacije: vdelana obremenitev | Kapljice vseh zlonamernih verig vsebujejo vdelano podatkovno polje z dodatno stopnjo. | |
T1562.003 | Oslabi obrambo: Oslabi beleženje zgodovine ukazov | OdicLoader spremeni žrtvin profil Bash, tako da so izhod in sporočila o napakah SimplexTea utišani. SimplexTea izvaja nove procese z isto tehniko. | |
T1070.004 | Odstranitev indikatorja: brisanje datoteke | SimplexTea ima možnost varnega brisanja datotek. | |
T1497.003 | Izmikanje virtualizaciji/peskovniku: Izmikanje na podlagi časa | SimplexTea izvaja več zakasnitev spanja po meri pri svojem izvajanju. | |
Discovery | T1083 | Odkrivanje datotek in imenikov | SimplexTea lahko navede vsebino imenika skupaj z njihovimi imeni, velikostmi in časovnimi žigi (posnema ls -la ukaz). |
Poveljevanje in nadzor | T1071.001 | Protokol aplikacijskega sloja: spletni protokoli | SimplexTea lahko uporablja HTTP in HTTPS za komunikacijo s svojim C&C strežnikom z uporabo statično povezane knjižnice Curl. |
T1573.001 | Šifrirani kanal: simetrična kriptografija | SimplexTea šifrira C&C promet z uporabo algoritma AES-GCM. | |
T1132.001 | Kodiranje podatkov: Standardno kodiranje | SimplexTea kodira promet C&C z uporabo base64. | |
T1090 | Proxy | SimplexTea lahko za komunikacijo uporablja proxy. | |
Eksfiltracija | T1041 | Eksfiltracija preko kanala C2 | SimplexTea lahko eksfiltrira podatke kot arhive ZIP na svoj C&C strežnik. |
Dodatek
To pravilo YARA označuje gručo, ki vsebuje tako IconicLoader kot IconicStealer, kot tudi koristne obremenitve, uvedene v kampanjah za kriptovalute od decembra 2022.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
/* The following rule will only work with YARA version >= 3.11.0 */ import “pe” rule RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023 { meta: description = ” Rich Headers-based rule covering the IconicLoader and IconicStealer from the 3CX supply chain incident, and also payloads from the cryptocurrency campaigns from 2022-12″ author = “ESET Research” date = “2023-03-31” hash = “3B88CDA62CDD918B62EF5AA8C5A73A46F176D18B” hash = “CAD1120D91B812ACAFEF7175F949DD1B09C6C21A” hash = “5B03294B72C0CAA5FB20E7817002C600645EB475” hash = “7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC” condition: pe.rich_signature.toolid(259, 30818) == 9 and pe.rich_signature.toolid(256, 31329) == 1 and pe.rich_signature.toolid(261, 30818) >= 30 and pe.rich_signature.toolid(261, 30818) <= 38 and pe.rich_signature.toolid(261, 29395) >= 134 and pe.rich_signature.toolid(261, 29395) <= 164 and pe.rich_signature.toolid(257, 29395) >= 6 and pe.rich_signature.toolid(257, 29395) <= 14 } |
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
- Kovanje prihodnosti z Adryenn Ashley. Dostopite tukaj.
- vir: https://www.welivesecurity.com/2023/04/20/linux-malware-strengthens-links-lazarus-3cx-supply-chain-attack/
- :ima
- : je
- :ne
- $GOR
- 000
- 000 kupcev
- 1
- 11
- 20
- 2014
- 2020
- 2021
- 2022
- 2023
- 39
- 7
- 8
- 9
- a
- sposobnost
- Sposobna
- O meni
- nad
- Po
- Račun
- računi
- dejavnost
- akterji
- dodano
- Dodatne
- Aerospace
- vplivajo
- proti
- algoritem
- vsi
- omogoča
- skupaj
- že
- Prav tako
- med
- an
- Analitiki
- in
- Še ena
- kaj
- aplikacija
- očitno
- privlačna
- uporaba
- aplikacije
- približuje se
- april
- APT
- Arhiv
- SE
- Argentina
- Array
- članek
- članki
- AS
- At
- napad
- Napadi
- pozornosti
- Avgust
- Preverjanje pristnosti
- Avtor
- nazaj
- Zakulisni
- Skrite
- podloga
- Slab
- temeljijo
- bash
- BE
- Medvedi
- ker
- bilo
- pred
- Začetek
- zadaj
- počutje
- Verjemite
- spodaj
- med
- tako
- Brazilija
- brskalnik
- by
- C + +
- klic
- se imenuje
- Akcija
- Kampanje
- CAN
- ne more
- Zmogljivosti
- primeru
- primeri
- Vzrok
- verige
- verige
- Channel
- značaja
- šifra
- CISO
- trdijo
- razred
- stranke
- Cloud
- Cloud Storage
- Grozd
- Koda
- skoval
- COM
- Skupno
- Komunikacija
- Communications
- skupnost
- Podjetja
- podjetje
- Podjetja
- Primerjava
- Zaključi
- kompleksna
- komponenta
- Kompromis
- Ogroženo
- stanje
- poteka
- zaupanje
- konfiguracija
- Potrdi
- povezane
- povezava
- kontakt
- vsebujejo
- Vsebuje
- vsebina
- prispevajo
- ustreza
- potrditi
- bi
- država
- zajeti
- kritje
- ustvarjajo
- ustvaril
- cryptocurrency
- Trenutna
- Trenutno
- po meri
- Stranke, ki so
- datum
- baze podatkov
- Datum
- Termini
- Dnevi
- mrtva
- december
- odločil
- privzeto
- Branilci
- Defense
- zamude
- daje
- Dokazano
- dokazuje,
- razporejeni
- uvajanje
- globina
- opis
- desktop
- Podatki
- Odkrivanje
- Ugotovite,
- določi
- uničujoče
- razvili
- Razvojni
- DID
- se razlikujejo
- neposredna
- neposredno
- razkritje
- odkril
- Odkritje
- prikazovalniki
- distribuirati
- porazdeljena
- distribucijo
- distribucija
- dokument
- domena
- domen
- DOT
- prenesi
- prenosov
- vozi
- Drop
- Kapljice
- poimenovan
- med
- vsak
- Zgodnje
- vgrajeni
- omogočena
- šifriran
- šifriranje
- inženir
- Inženiring
- Zabava
- okolje
- Napaka
- ESET Raziskave
- ustanovljena
- Tudi
- dogodki
- dokazi
- Izvaja
- izvedba
- obstoječih
- Pojasnite
- razložiti
- razširitev
- zunanja
- ekstrakt
- dejavniki
- ponaredek
- februar
- Preneseno
- Nekaj
- Slika
- file
- datoteke
- končna
- prva
- fit
- zastave
- Vodilna
- sledili
- po
- za
- obrazec
- format
- je pokazala,
- iz
- spredaj
- polno
- funkcija
- Georgia
- dobili
- GitHub
- dana
- Go
- skupina
- Skupine
- Gost
- hash
- Imajo
- he
- Glave
- Naslovi
- zdravstveno varstvo
- pomoč
- pomagal
- Skrij
- visoka
- Poudarjeno
- zgodovina
- Gostoljubnost
- gostila
- Kako
- Vendar
- HSBC
- HTML
- http
- HTTPS
- enako
- Vplivi
- Izvajanje
- izvedbe
- uvoz
- in
- nesreča
- odziv na incident
- vključujejo
- Vključno
- Industrija
- zloglasni
- Podatki
- Infrastruktura
- infrastruktura
- na začetku
- Poizvedbe
- nameščen
- Namesto
- Intel
- Intelligence
- obresti
- Zanimivo
- Facebook Global
- v
- razišče
- preiskava
- vključeni
- IT
- ITS
- sam
- januar
- Job
- JOE
- julij
- Kaspersky
- Ključne
- tipke
- Otrok
- znanje
- Korejski
- Zadnja
- Lansko leto
- Pozen
- začela
- plast
- Lazarus
- Skupina Lazarus
- Vodja
- Voditelji
- Stopnja
- Knjižnica
- Verjeten
- LINK
- povezane
- Povezave
- linux
- Seznam
- LLC
- nakladač
- nalaganje
- obremenitve
- Long
- Poglej
- Sklop
- stroj
- Stroji
- MacOS
- je
- velika
- IZDELA
- zlonamerna programska oprema
- upravitelj
- Manipulacija
- več
- map
- marec
- max širine
- Maj ..
- omenjeno
- sporočil
- Meta
- metapodatki
- Metoda
- Microsoft
- morda
- Vojaška
- Mobilni
- mobilna aplikacija
- več
- Najbolj
- več
- skrivnostna
- Ime
- Imenovan
- in sicer
- Imena
- materni
- Niti
- mreža
- Novo
- Naslednja
- sever
- znano
- of
- ponudba
- Ponudbe
- Uradni
- on
- ONE
- v teku
- samo
- odprite
- o odprtju
- deluje
- Operacijski sistemi
- Delovanje
- operaterji
- or
- Da
- organizacije
- izvirno
- Ostalo
- naši
- izhod
- več
- lastne
- P&E
- Stran
- Papir
- del
- preteklosti
- perspektiva
- telefon
- slike
- načrtovano
- Platforme
- platon
- Platonova podatkovna inteligenca
- PlatoData
- prosim
- prednostno
- Prisotnost
- prejšnja
- prej
- Predhodna
- zasebna
- verjetno
- Postopek
- Procesi
- proizvodnjo
- profil
- projekti
- protokol
- zagotavljajo
- če
- zagotavlja
- zagotavljanje
- proxy
- javnega
- javno
- objavljeno
- Založnik
- hitro
- precej
- realizirano
- Rekapitulacija
- prejetih
- nedavno
- Pred kratkim
- registriranih
- povezane
- Razmerje
- daljinsko
- odstranitev
- poročilo
- Prijavljeno
- Poročila
- predstavljajo
- zastopan
- Raziskave
- raziskovalec
- raziskovalci
- Odgovor
- Razkrito
- Rich
- vloga
- Romunija
- Pravilo
- Run
- tek
- Enako
- sekund
- Oddelek
- Sektorji
- Varno
- varnost
- Serija
- Strežniki
- Storitev
- Storitve
- nastavite
- več
- deli
- Shell
- Razstave
- podpisano
- pomemben
- Podoben
- podobnosti
- saj
- sam
- Velikosti
- velikosti
- spanje
- So
- doslej
- socialna
- Socialni inženiring
- Software
- nekaj
- Nekaj
- Sony
- South
- južnokorejski
- specifična
- Stage
- postopka
- standardna
- začel
- Države
- Korak
- shranjevanje
- shranjeni
- trgovine
- tok
- Okrepiti
- Krepi
- močna
- Močno
- studio
- Stališča
- predložen
- precejšen
- Predlaga
- dobavi
- dobavne verige
- Simbol
- sintaksa
- sistem
- sistemi
- miza
- ciljna
- ciljno
- ciljanje
- Cilji
- tehnični
- tehnike
- Tehnologije
- kot
- da
- O
- njihove
- Njih
- sami
- te
- tretjih oseb
- ta
- Grožnja
- akterji groženj
- 3
- skozi
- čas
- časovnica
- Nasvet
- do
- skupaj
- žeton
- orodje
- orodja
- Prometa
- zdravljenje
- sprožilo
- tipičen
- tipografija
- unix
- Nadgradnja
- posodobljeno
- URL
- us
- uporaba
- Rabljeni
- uporabnik
- Uporabniki
- uporabiti
- Variant
- različnih
- Prodajalec
- različica
- preko
- Žrtva
- žrtve
- Virtual
- virtualni stroj
- obisk
- VMware
- vs
- Wardle
- je
- način..
- we
- web
- spletni brskalnik
- Spletna stran
- Weeks
- Dobro
- so bili
- Kaj
- ali
- ki
- široka
- Wikipedia
- bo
- okna
- z
- delo
- bi
- zaviti
- pisni
- leto
- zefirnet
- Zip