Likheter med nyupptäckt Linux-skadlig programvara som används i Operation DreamJob bekräftar teorin att den ökända Nordkorea-anslutna gruppen ligger bakom 3CX supply-chain attacken
ESET-forskare har upptäckt en ny Lazarus Operation DreamJob-kampanj riktad mot Linux-användare. Operation DreamJob är namnet på en serie kampanjer där gruppen använder social ingenjörsteknik för att kompromissa med sina mål, med falska jobberbjudanden som lockbete. I det här fallet kunde vi rekonstruera hela kedjan, från ZIP-filen som levererar ett falskt HSBC-jobberbjudande som ett lockbete, fram till den slutliga nyttolasten: SimplexTea Linux-bakdörren distribuerad via en OpenDrive molnlagringskonto. Såvitt vi vet är detta det första offentliga omnämnandet av denna stora nordkoreanska hotaktör som använder Linux skadlig kod som en del av denna operation.
Dessutom hjälpte den här upptäckten oss att bekräfta med hög tillförsikt att den senaste 3CX-attacken i leveranskedjan faktiskt utfördes av Lazarus – en länk som misstänktes från första början och som demonstrerats av flera säkerhetsforskare sedan dess. I det här blogginlägget bekräftar vi dessa fynd och tillhandahåller ytterligare bevis om kopplingen mellan Lazarus och 3CX supply chain attack.
3CX supply-chain attack
3CX är en internationell VoIP-programutvecklare och distributör som tillhandahåller telefonsystemtjänster till många organisationer. Enligt sin webbplats har 3CX mer än 600,000 12,000,000 kunder och 2023 3 3 användare inom olika sektorer, inklusive flyg, sjukvård och gästfrihet. Den tillhandahåller klientprogramvara för att använda sina system via en webbläsare, mobilapp eller en stationär applikation. Sent i mars 3 upptäcktes det att skrivbordsapplikationen för både Windows och macOS innehöll skadlig kod som gjorde det möjligt för en grupp angripare att ladda ner och köra godtycklig kod på alla maskiner där applikationen var installerad. Snabbt fastställdes det att denna skadliga kod inte var något som XNUMXCX lagt till själva, utan att XNUMXCX äventyrades och att dess mjukvara användes i en supply chain-attack driven av externa hotaktörer för att distribuera ytterligare skadlig kod till specifika XNUMXCX-kunder.
Denna cyber-incident har skapat rubriker de senaste dagarna. Inledningsvis rapporterades den 29 marsth, 2023 i a reddit tråd av en CrowdStrike-ingenjör, följt av en officiell rapport av CrowdStrike, som med stor tillförsikt förklarade att LABIRINTH CHOLLIMA, företagets kodnamn för Lazarus, låg bakom attacken (men utelämnade alla bevis som stödjer påståendet). På grund av händelsens allvar började flera säkerhetsföretag bidra med sina sammanfattningar av händelserna, nämligen Sophos, Check Point, Broadcom, Trend MicroOch mycket mer.
Vidare täcktes den del av attacken som påverkar system som kör macOS i detalj i en Twitter tråd och en inlägg av Patrick Wardle.
Tidslinje för händelser
Tidslinjen visar att gärningsmännen hade planerat attackerna långt innan avrättningen; redan i december 2022. Detta tyder på att de redan hade fotfäste i 3CX:s nätverk i slutet av förra året.
Medan den trojaniserade 3CX macOS-applikationen visar att den signerades i slutet av januari, såg vi inte den dåliga applikationen i vår telemetri förrän den 14 februarith, 2023. Det är oklart om den skadliga uppdateringen för macOS distribuerades före det datumet.
Även om ESET-telemetri visar existensen av macOS-nyttolasten i andra steget så tidigt som i februari, hade vi inte själva provet eller metadata för att tipsa oss om dess skadlighet. Vi inkluderar denna information för att hjälpa försvarare att avgöra hur långt tillbaka system kan ha äventyrats.
Flera dagar innan attacken avslöjades offentligt skickades en mystisk Linux-nedladdare till VirusTotal. Den laddar ner en ny Lazarus skadlig nyttolast för Linux och vi förklarar dess förhållande till attacken längre fram i texten.
Tillskrivning av 3CX supply-chain attacken till Lazarus
Det som redan är publicerat
Det finns en domän som spelar en betydande roll i vårt tillskrivningsresonemang: journalide[.]org. Det nämns i några av leverantörsrapporterna länkade ovan, men dess närvaro förklaras aldrig. Intressant nog artiklar av SentinelOne och Objektiv Se nämn inte denna domän. Inte heller ett blogginlägg av Volexitet, som till och med avstod från att lämna tillskrivning, anför "Volexity kan för närvarande inte kartlägga den avslöjade aktiviteten till någon hotaktör". Dess analytiker var bland de första att undersöka attacken på djupet och de skapade ett verktyg för att extrahera en lista över C&C-servrar från krypterade ikoner på GitHub. Det här verktyget är användbart, eftersom angriparna inte bäddade in C&C-servrarna direkt i mellanstadierna, utan snarare använde GitHub som en dead drop-resolver. Mellanstadierna är nedladdare för Windows och macOS som vi betecknar som IconicLoaders, och nyttolasten de får som IconicStealer respektive UpdateAgent.
I mars 30th, Joe Desimone, en säkerhetsforskare från Elastisk säkerhet, var bland de första att tillhandahålla, i en Twitter tråd, betydande ledtrådar om att de 3CX-drivna kompromisserna förmodligen är kopplade till Lazarus. Han observerade att en skalkodstubb föregick nyttolasten från d3dcompiler_47.dll liknar AppleJeus loader stubbar som tillskrivs Lazarus av CISA tillbaka i april 2021.
I mars 31st det var Där vi får lov att vara utan att konstant prestera, rapporterade att 3CX hade behållit Mandiant för att tillhandahålla incidentresponstjänster relaterade till supply-chain-attacken.
På April 3rd, kaspersky, genom sin telemetri, visade ett direkt förhållande mellan 3CX leveranskedjans offer och utplaceringen av en bakdörr kallad Gopuram, båda involverade nyttolaster med ett gemensamt namn, guard64.dll. Kaspersky-data visar att Gopuram är ansluten till Lazarus eftersom det samexisterade på offermaskiner bredvid AppleJeus, skadlig programvara som redan tillskrivits Lazarus. Både Gopuram och AppleJeus observerades i attacker mot ett kryptovalutaföretag.
Sedan, den 11 aprilthCISO för 3CX sammanfattade Mandiants interimistiska resultat i en inlägg. Enligt den rapporten var två Windows malware-prover, en shellcode-laddare som heter TAXHAUL och en komplex nedladdare som heter COLDCAT, inblandade i kompromissen med 3CX. Inga hash angavs, men Mandiants YARA-regel, som heter TAXHAUL, utlöses även på andra prover som redan finns på VirusTotal:
- SHA-1: 2ACC6F1D4656978F4D503929B8C804530D7E7CF6 (ualapi.dll),
- SHA-1: DCEF83D8EE080B54DC54759C59F955E73D67AA65 (wlbsctrl.dll)
Filnamnen, men inte MD5, på dessa prover sammanfaller med dem från Kasperskys blogginlägg. 3CX anger dock uttryckligen att COLDCAT skiljer sig från Gopuram.
Nästa avsnitt innehåller en teknisk beskrivning av den nya Lazarus skadliga Linux-nyttolasten som vi nyligen analyserade, samt hur den hjälpte oss att stärka den befintliga länken mellan Lazarus och 3CX-kompromissen.
Operation DreamJob med en Linux-nyttolast
Lazarus-gruppens Operation DreamJob innebär att närma sig mål genom LinkedIn och locka dem med jobberbjudanden från branschledare. Namnet myntades av ClearSky i en papper publicerades i augusti 2020. Den artikeln beskriver en Lazarus cyberspionagekampanj riktad mot försvars- och flygföretag. Verksamheten har överlappat det vi kallar Operation In(ter)ception, en serie cyberspionageattacker som har pågått sedan åtminstone september 2019. Den riktar sig till flyg-, militär- och försvarsföretag och använder specifika skadliga, initialt endast Windows-verktyg. Under juli och augusti 2022 hittade vi två fall av Operation In(ter)ception inriktad på macOS. Ett prov av skadlig programvara skickades till Virustotal från Brasilien, och en annan attack riktade sig mot en ESET-användare i Argentina. För några veckor sedan hittades en inbyggd Linux-nyttolast på VirusTotal med ett PDF-drag med HSBC-tema. Detta fullbordar Lazarus förmåga att rikta in sig på alla större stationära operativsystem.
I mars 20th, en användare i landet Georgia skickade till VirusTotal ett ZIP-arkiv som heter HSBC jobberbjudande.pdf.zip. Med tanke på andra DreamJob-kampanjer av Lazarus distribuerades denna nyttolast förmodligen genom spearphishing eller direktmeddelanden på LinkedIn. Arkivet innehåller en enda fil: en inbyggd 64-bitars Intel Linux-binär skriven i Go och heter HSBC jobberbjudande․pdf.
Intressant nog är filtillägget inte det .pdf. Detta beror på att det uppenbara punkttecknet i filnamnet är a ledarprick representeras av Unicode-tecknet U+2024. Användningen av ledarpunkten i filnamnet var förmodligen ett försök att lura filhanteraren att behandla filen som en körbar fil istället för en PDF. Detta kan göra att filen körs när den dubbelklickas istället för att öppna den med en PDF-visare. Vid exekvering visas en lockbete-PDF för användaren som använder xdg-öppen, som öppnar dokumentet med användarens föredragna PDF-visare (se figur 3). Vi bestämde oss för att kalla denna ELF-nedladdare OdicLoader, eftersom den har en liknande roll som IconicLoaders på andra plattformar och nyttolasten hämtas från OpenDrive.
OdicLoader släpper ett lockbete-PDF-dokument, visar det med systemets standard-PDF-visare (se figur 2) och laddar sedan ner en andra stegs bakdörr från OpenDrive molntjänst. Den nedladdade filen lagras i ~/.config/guiconfigd (SHA-1: 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF). Vi kallar denna andrastegs bakdörr SimplexTea.
Som det sista steget i dess exekvering, modifierar OdicLoader ~ / .bash_profile, så SimplexTea lanseras med Bash och dess utgång är tystad (~/.config/guiconfigd >/dev/null 2>&1).
SimplexTea är en Linux-bakdörr skriven i C++. Som markerats i tabell 1 är dess klassnamn mycket lika funktionsnamn som finns i ett exempel, med filnamn sysnetd, skickat till VirusTotal från Rumänien (SHA-1: F6760FB1F8B019AF2304EA6410001B63A1809F1D). På grund av likheterna i klassnamn och funktionsnamn mellan SimplexTea och sysnetd, vi tror att SimplexTea är en uppdaterad version, omskriven från C till C++.
Tabell 1. Jämförelse av de ursprungliga symbolnamnen från två Linux-bakdörrar som skickats till VirusTotal
guiconfigd |
sysnetd |
CMsgCmd::Start(void) | MSG_Cmd |
CMsgSäkerhetDela::Start(void) | MSG_Del |
CMsgDir::Start(void) | MSG_Dir |
CMsgDown::Start(void) | MSG_Down |
CMsgExit::Start(void) | MSG_Avsluta |
CMsgReadConfig::Start(void) | MSG_ReadConfig |
CMsgRun::Start(void) | MSG_Kör |
CMsgSetPath::Start(void) | MSG_SetPath |
CMsgSleep::Start(void) | MSG_Sömn |
CMsgTest::Start(void) | MSG_Test |
CMsgUp::Start(void) | MSG_Upp |
CMsgWriteConfig::Start(void) | MSG_WriteConfig |
MSG_GetComInfo | |
CMsgHibernate::Start(void) | |
CMsgKeepCon::Start(void) | |
CMsgZipDown::Start(void) | |
CMsgZip::StartZip(void *) | |
CMsgZip::Start(void) | |
CHttpWrapper::RecvData(uchar *&,uint *,uint,signerad char) | |
RecvMsg | |
CHttpWrapper::Skicka meddelande(_MSG_STRUCT *) | Skicka meddelande |
CHttpWrapper::SendData(uchar *,uint,uint) | |
CHttpWrapper::SendMsg(uint,uint,uchar *,uint,uint) | |
CHttpWrapper::SendLoginData(uchar *,uint,uchar *&,uint *) |
Hur är sysnetd släkt med Lasarus? Följande avsnitt visar likheter med Lazarus Windows-bakdörr som heter BADCALL.
BADCALL för Linux
Vi tillskriver sysnetd till Lazarus på grund av dess likheter med följande två filer (och vi tror det sysnetd är en Linux-variant av gruppens bakdörr för Windows som heter BADCALL):
- P2P_DLL.dll (SHA-1: 65122E5129FC74D6B5EBAFCC3376ABAE0145BC14), som visar kodlikheter med sysnetd i form av domäner som används som front för falsk TLS-anslutning (se figur 4). Det tillskrevs Lazarus av CISA i december 2017. Från september 2019, började CISA anropa nyare versioner av denna skadliga programvara BADCALL (SHA-1: D288766FA268BC2534F85FD06A5D52264E646C47).
- prtspool (SHA-1: 58B0516D28BD7218B1908FB266B8FE7582E22A5F), som visar kodlikheter med sysnetd (se figur 5). Den tillskrevs Lazarus av CISA i februari 2021. Observera också att SIMPLESEA, en macOS-bakdörr som hittades under 3CX-incidentsvaret, implementerar A5 / 1 ström chiffer.
Denna Linux-version av BADCALL-bakdörren, sysnetd, laddar dess konfiguration från en fil med namnet /tmp/vgauthsvclog. Eftersom Lazarus-operatörer tidigare har maskerat sina nyttolaster, tyder användningen av detta namn, som används av tjänsten VMware Guest Authentication, att det riktade systemet kan vara en virtuell Linux VMware-maskin. Intressant nog är XOR-nyckeln i det här fallet densamma som den som används i SIMPLESEA från 3CX-utredningen.
Ta en titt på de tre 32-bitars heltal, 0xC2B45678, 0x90ABCDEFoch 0xFE268455 från figur 5, som representerar en nyckel för en anpassad implementering av A5/1-chifferet, insåg vi att samma algoritm och de identiska nycklarna användes i Windows skadlig programvara som går tillbaka till slutet av 2014 och var involverad i en av de mest ökända Lazarus-fall: cybersabotage av Sony Pictures Entertainment (SHA-1: 1C66E67A8531E3FF1C64AE57E6EDFDE7BEF2352D).
Ytterligare attributionsdatapunkter
För att sammanfatta vad vi hittills har täckt, tillskriver vi 3CX supply chain attacken till Lazarus-gruppen med ett högt självförtroende. Detta är baserat på följande faktorer:
- Skadlig programvara (intrångsuppsättningen):
- IconicLoader (samcli.dll) använder samma typ av stark kryptering – AES-GCM – som SimplexTea (vars tillskrivning till Lazarus etablerades genom likheten med BALLCALL för Linux); endast nycklarna och initialiseringsvektorerna skiljer sig åt.
- Baserat på PE Rich Headers, både IconicLoader (samcli.dll) och IconicStealer (sechost.dll) är projekt av liknande storlek och kompilerade i samma Visual Studio-miljö som de körbara filerna iertutil.dll (SHA-1: 5B03294B72C0CAA5FB20E7817002C600645EB475) Och iertutil.dll (SHA-1: 7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC) rapporterade i Lazarus kryptovalutakampanjer av Volexitet och Microsoft. Vi inkluderar nedan YARA-regeln RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023, som flaggar alla dessa exempel, och inga orelaterade skadliga eller rena filer, som testats i de aktuella ESET-databaserna och de senaste VirusTotal-inlämningarna.
- SimplexTea nyttolast laddar sin konfiguration på ett mycket liknande sätt som SIMPLESEA malware från 3CX officiella incidentrespons. XOR-nyckeln skiljer sig (0x5E vs 0x7E), men konfigurationen bär samma namn: apdl.cf (se figur 8).
- Infrastruktur:
- Det finns delad nätverksinfrastruktur med SimplexTea, som den använder https://journalide[.]org/djour.php som det C&C, vars domän rapporteras i officiella resultat av incidentresponsen av 3CX-kompromissen av Mandiant.
Slutsats
3CX-kompromissen har fått mycket uppmärksamhet från säkerhetsgemenskapen sedan avslöjandet den 29 marsth. Denna komprometterade programvara, utplacerad på olika IT-infrastrukturer, som tillåter nedladdning och exekvering av alla typer av nyttolast, kan få förödande konsekvenser. Tyvärr är ingen programutgivare immun mot att äventyras och oavsiktligt distribuera trojaniserade versioner av sina applikationer.
Smygheten i en supply-chain-attack gör denna metod att distribuera skadlig programvara mycket tilltalande ur en angripares perspektiv. Lazarus har redan använt denna teknik tidigare riktat in sig på sydkoreanska användare av WIZVERA VeraPort-programvaran 2020. Likheter med befintlig skadlig programvara från Lazarus verktygsuppsättning och med gruppens typiska tekniker tyder starkt på att den senaste 3CX-kompromissen också är Lazarus verk.
Det är också intressant att notera att Lazarus kan producera och använda skadlig programvara för alla större stationära operativsystem: Windows, macOS och Linux. Både Windows- och macOS-system var måltavla under 3CX-incidenten, med 3CX:s VoIP-programvara för båda operativsystemen som trojaniserades för att inkludera skadlig kod för att hämta godtyckliga nyttolaster. I fallet med 3CX finns både Windows- och macOS-versioner av skadlig programvara i andra steget. Den här artikeln visar förekomsten av en Linux-bakdörr som förmodligen motsvarar SIMPLESEA macOS malware som sågs i 3CX-incidenten. Vi döpte denna Linux-komponent till SimplexTea och visade att den är en del av Operation DreamJob, Lazarus flaggskeppskampanj som använder jobberbjudanden för att locka och kompromissa intet ont anande offer.
ESET Research erbjuder privata APT-underrättelserapporter och dataflöden. För eventuella frågor om denna tjänst, besök ESET Threat Intelligence sida.
IOCS
Filer
SHA-1 | Filnamn | ESET-detekteringsnamn | Beskrivning |
---|---|---|---|
0CA1723AFE261CD85B05C9EF424FC50290DCE7DF | guiconfigd | Linux/NukeSped.E | SimplexTea för Linux. |
3A63477A078CE10E53DFB5639E35D74F93CEFA81 | HSBC_job_offer․pdf | Linux/NukeSped.E | OdicLoader, en 64-bitars nedladdningsprogram för Linux, skriven i Go. |
9D8BADE2030C93D0A010AA57B90915EB7D99EC82 | HSBC_job_offer.pdf.zip | Linux/NukeSped.E | Ett ZIP-arkiv med en Linux-nyttolast, från VirusTotal. |
F6760FB1F8B019AF2304EA6410001B63A1809F1D | sysnetd | Linux/NukeSped.G | BADCALL för Linux. |
Först sett | 2023-03-20 12:00:35 |
---|---|
MD5 | CEDB9CDBAD254F60CFB215B9BFF84FB9 |
SHA-1 | 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF |
SHA-256 | EEBB01932DE0B5605DD460CC82844D8693C00EA8AB5FFDF8DBEDE6528C1C18FD |
Filnamn | guiconfigd |
Beskrivning | SimplexTea för Linux. |
C&C | https://journalide[.]org/djour.php |
Laddas ner från | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
Detektering | Linux/NukeSped.E |
PE kompilering tidsstämpel | N / A |
Först sett | 2023-03-16 07:44:18 |
---|---|
MD5 | 3CF7232E5185109321921046D039CF10 |
SHA-1 | 3A63477A078CE10E53DFB5639E35D74F93CEFA81 |
SHA-256 | 492A643BD1EFDACA4CA125ADE1B606E7BBF00E995AC9115AC84D1C4C59CB66DD |
Filnamn | HSBC_job_offer․pdf |
Beskrivning | OdicLoader, en 64-bitars nedladdningsprogram för Linux, i Go. |
C&C | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
Laddas ner från | N / A |
Detektering | Linux/NukeSped.E |
PE kompilering tidsstämpel | N / A |
Först sett | 2023-03-20 02:23:29 |
---|---|
MD5 | FC41CB8425B6432AF8403959BB59430D |
SHA-1 | 9D8BADE2030C93D0A010AA57B90915EB7D99EC82 |
SHA-256 | F638E5A20114019AD066DD0E856F97FD865798D8FBED1766662D970BEFF652CA |
Filnamn | HSBC_job_offer.pdf.zip |
Beskrivning | Ett ZIP-arkiv med en Linux-nyttolast, från VirusTotal. |
C&C | N / A |
Laddas ner från | N / A |
Detektering | Linux/NukeSped.E |
PE kompilering tidsstämpel | N / A |
Först sett | 2023-02-01 23:47:05 |
---|---|
MD5 | AAC5A52B939F3FE792726A13FF7A1747 |
SHA-1 | F6760FB1F8B019AF2304EA6410001B63A1809F1D |
SHA-256 | CC307CFB401D1AE616445E78B610AB72E1C7FB49B298EA003DD26EA80372089A |
Filnamn | sysnetd |
Beskrivning | BADCALL för Linux. |
C&C | tcp://23.254.211[.]230 |
Laddas ner från | N / A |
Detektering | Linux/NukeSped.G |
PE kompilering tidsstämpel | N / A |
nätverks
IP-adress | Domän | Värdleverantör | Först sett | Detaljer |
---|---|---|---|---|
23.254.211[.]230 | N / A | Hostwinds LLC. | N / A | C&C-server för BADCALL för Linux |
38.108.185[.]79 38.108.185[.]115 |
od[.]lk | övertygande Communications | 2023-03-16 | Fjärrlagring av OpenDrive som innehåller SimplexTea (/d/NTJfMzg4MDE1NzJf/vxmedia) |
172.93.201[.]88 | journalide[.]org | Nexeon Technologies, Inc. | 2023-03-29 | C&C-server för SimplexTea (/djour.php) |
MITER ATT & CK tekniker
Taktik | ID | Namn | Beskrivning |
---|---|---|---|
Spaning | T1593.001 | Sök Öppna webbplatser/domäner: Sociala medier | Lazarus angripare närmade sig förmodligen ett mål med ett falskt HSBC-tema jobberbjudande som skulle passa målets intresse. Detta har gjorts mestadels via LinkedIn tidigare. |
Resursutveckling | T1584.001 | Skaffa infrastruktur: domäner | Till skillnad från många tidigare fall av komprometterade C&Cs som använts i Operation DreamJob, registrerade Lazarus-operatörer sin egen domän för Linux-målet. |
T1587.001 | Utveckla förmågor: Malware | Anpassade verktyg från attacken är mycket troligt utvecklade av angriparna. | |
T1585.003 | Upprätta konton: Molnkonton | Angriparna var värd för slutskedet på molntjänsten OpenDrive. | |
T1608.001 | Stagefunktioner: Ladda upp skadlig programvara | Angriparna var värd för slutskedet på molntjänsten OpenDrive. | |
Utförande | T1204.002 | Användarutförande: Skadlig fil | OdicLoader maskerar sig som en PDF-fil för att lura målet. |
Initial åtkomst | T1566.002 | Nätfiske: Spearphishing-länk | Målet fick troligen en länk till tredje parts fjärrlagring med ett skadligt ZIP-arkiv, som senare skickades till VirusTotal. |
Persistens | T1546.004 | Händelseutlöst exekvering: Unix Shell Configuration Modification | OdicLoader modifierar offrets Bash-profil, så SimplexTea startas varje gång Bash stirras och dess utdata stängs av. |
Försvarsflykt | T1134.002 | Access Token Manipulation: Skapa process med Token | SimplexTea kan skapa en ny process, om det uppmanas av dess C&C-server. |
T1140 | Deobfuskera/avkoda filer eller information | SimplexTea lagrar sin konfiguration i en krypterad apdl.cf. | |
T1027.009 | Obfuskerade filer eller information: Inbäddade nyttolaster | Dropparna för alla skadliga kedjor innehåller en inbäddad datamatris med ett extra steg. | |
T1562.003 | Försämra försvar: Försämra kommandohistorikloggning | OdicLoader modifierar offrets Bash-profil, så utdata och felmeddelanden från SimplexTea stängs av. SimplexTea exekverar nya processer med samma teknik. | |
T1070.004 | Indikatorborttagning: Filradering | SimplexTea har förmågan att ta bort filer säkert. | |
T1497.003 | Virtualisering/Sandbox Evasion: Time Based Evasion | SimplexTea implementerar flera anpassade sömnfördröjningar i dess utförande. | |
Discovery | T1083 | Arkiv- och katalogupptäckt | SimplexTea kan lista kataloginnehållet tillsammans med deras namn, storlekar och tidsstämplar (som härmar ls -la kommando). |
Command and Control | T1071.001 | Application Layer Protocol: webbprotokoll | SimplexTea kan använda HTTP och HTTPS för kommunikation med sin C&C-server, med hjälp av ett statiskt länkat Curl-bibliotek. |
T1573.001 | Krypterad kanal: Symmetrisk kryptografi | SimplexTea krypterar C&C-trafik med AES-GCM-algoritmen. | |
T1132.001 | Datakodning: Standardkodning | SimplexTea kodar C&C-trafik med base64. | |
T1090 | Proxy | SimplexTea kan använda en proxy för kommunikation. | |
exfiltration | T1041 | Exfiltrering över C2 -kanal | SimplexTea kan exfiltrera data som ZIP-arkiv till sin C&C-server. |
Appendix
Den här YARA-regeln flaggar klustret som innehåller både IconicLoader och IconicStealer, såväl som nyttolasten som distribueras i kryptovalutakampanjerna från december 2022.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
/* The following rule will only work with YARA version >= 3.11.0 */ import “pe” rule RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023 { meta: description = ” Rich Headers-based rule covering the IconicLoader and IconicStealer from the 3CX supply chain incident, and also payloads from the cryptocurrency campaigns from 2022-12″ author = “ESET Research” date = “2023-03-31” hash = “3B88CDA62CDD918B62EF5AA8C5A73A46F176D18B” hash = “CAD1120D91B812ACAFEF7175F949DD1B09C6C21A” hash = “5B03294B72C0CAA5FB20E7817002C600645EB475” hash = “7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC” condition: pe.rich_signature.toolid(259, 30818) == 9 and pe.rich_signature.toolid(256, 31329) == 1 and pe.rich_signature.toolid(261, 30818) >= 30 and pe.rich_signature.toolid(261, 30818) <= 38 and pe.rich_signature.toolid(261, 29395) >= 134 and pe.rich_signature.toolid(261, 29395) <= 164 and pe.rich_signature.toolid(257, 29395) >= 6 and pe.rich_signature.toolid(257, 29395) <= 14 } |
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
- Minting the Future med Adryenn Ashley. Tillgång här.
- Källa: https://www.welivesecurity.com/2023/04/20/linux-malware-strengthens-links-lazarus-3cx-supply-chain-attack/
- : har
- :är
- :inte
- $UPP
- 000
- 000 kunder
- 1
- 11
- 20
- 2014
- 2020
- 2021
- 2022
- 2023
- 39
- 7
- 8
- 9
- a
- förmåga
- Able
- Om oss
- ovan
- Enligt
- Konto
- konton
- aktivitet
- aktörer
- lagt till
- Annat
- Aerospace
- påverkar
- mot
- algoritm
- Alla
- tillåter
- vid sidan av
- redan
- också
- bland
- an
- analytiker
- och
- Annan
- vilken som helst
- app
- skenbar
- lockande
- Ansökan
- tillämpningar
- närmar sig
- April
- APT
- arkiv
- ÄR
- Argentina
- array
- Artikeln
- artiklar
- AS
- At
- attackera
- Attacker
- uppmärksamhet
- AUGUSTI
- Autentisering
- Författaren
- tillbaka
- bakdörr
- Bakdörrar
- stöd
- Badrum
- baserat
- bash
- BE
- bears
- därför att
- varit
- innan
- Börjar
- bakom
- Där vi får lov att vara utan att konstant prestera,
- tro
- nedan
- mellan
- båda
- Brasilien
- webbläsare
- by
- C + +
- Ring
- kallas
- Kampanj
- Kampanjer
- KAN
- kan inte
- kapacitet
- Vid
- fall
- Orsak
- kedja
- kedjor
- Kanal
- karaktär
- chiffer
- CISO
- patentkrav
- klass
- klient
- cloud
- Cloud Storage
- kluster
- koda
- myntade
- COM
- Gemensam
- Kommunikation
- Trygghet i vårdförloppet
- samfundet
- Företag
- företag
- Företagets
- jämförelse
- slutför
- komplex
- komponent
- kompromiss
- Äventyras
- tillstånd
- genomfördes
- förtroende
- konfiguration
- Bekräfta
- anslutna
- anslutning
- kontakta
- innehålla
- innehåller
- innehåll
- bidra
- motsvarar
- bekräfta
- kunde
- land
- omfattas
- beläggning
- skapa
- skapas
- kryptovaluta
- Aktuella
- För närvarande
- beställnings
- Kunder
- datum
- databaser
- Datum
- Datum
- Dagar
- döda
- December
- beslutade
- Standard
- Försvararna
- Försvar
- fördröjningar
- levererar
- demonstreras
- demonstrerar
- utplacerade
- utplacering
- djup
- beskrivning
- desktop
- detalj
- Detektering
- Bestämma
- bestämd
- förödande
- utvecklade
- Utvecklare
- DID
- skilja sig
- rikta
- direkt
- avslöjande
- upptäckt
- Upptäckten
- displayer
- distribuera
- distribueras
- fördelnings
- fördelning
- dokumentera
- domän
- domäner
- DOT
- ladda ner
- Nedladdningar
- driven
- Drop
- Droppar
- dubbade
- under
- varje
- Tidig
- inbäddade
- aktiverad
- krypterad
- kryptering
- ingenjör
- Teknik
- Underhållning
- Miljö
- fel
- ESET Research
- etablerade
- Även
- händelser
- bevis
- Utför
- utförande
- befintliga
- Förklara
- förklarade
- förlängning
- extern
- extrahera
- faktorer
- fejka
- Februari
- Hämtas
- få
- Figur
- Fil
- Filer
- slutlig
- Förnamn
- passa
- flaggorna
- flaggskepp
- följt
- efter
- För
- formen
- format
- hittade
- från
- främre
- full
- fungera
- georgien
- skaffa sig
- GitHub
- ges
- Go
- Grupp
- Gruppens
- Gäst
- hash
- Har
- he
- headers
- Rubriker
- hälso-och sjukvård
- hjälpa
- hjälpte
- Dölja
- Hög
- Markerad
- historia
- gästfrihet
- värd
- Hur ser din drömresa ut
- Men
- HSBC
- html
- http
- HTTPS
- identiska
- Konsekvenser
- genomförande
- redskap
- importera
- in
- incident
- incidentrespons
- innefattar
- Inklusive
- industrin
- ökänd
- informationen
- Infrastruktur
- infrastruktur
- initialt
- förfrågningar
- installerad
- istället
- Intel
- Intelligens
- intresse
- intressant
- Internationell
- in
- undersöka
- Undersökningen
- involverade
- IT
- DESS
- sig
- Januari
- Jobb
- JOE
- Juli
- kaspersky
- Nyckel
- nycklar
- Snäll
- kunskap
- koreanska
- Efternamn
- Förra året
- Sent
- lanserades
- lager
- Lazarus
- Lazarusgruppen
- ledare
- ledare
- Nivå
- Bibliotek
- sannolikt
- LINK
- kopplade
- länkar
- linux
- Lista
- LLC
- Lastaren
- läser in
- laster
- Lång
- se
- Lot
- Maskinen
- Maskiner
- Mac OS
- gjord
- större
- GÖR
- malware
- chef
- Manipulation
- många
- karta
- Mars
- max-bredd
- Maj..
- nämnts
- meddelanden
- meta
- metadata
- metod
- Microsoft
- kanske
- Militär
- Mobil
- Mobil app
- mer
- mest
- multipel
- mystiska
- namn
- Som heter
- nämligen
- namn
- nativ
- Varken
- nät
- Nya
- Nästa
- Nord
- ökänd
- of
- erbjudanden
- Erbjudanden
- tjänsteman
- on
- ONE
- pågående
- endast
- öppet
- öppning
- drift
- operativsystem
- drift
- operatörer
- or
- beställa
- organisationer
- ursprungliga
- Övriga
- vår
- produktion
- över
- egen
- P&E
- sida
- Papper
- del
- Tidigare
- perspektiv
- telefon
- Bilder
- planeras
- Plattformar
- plato
- Platon Data Intelligence
- PlatonData
- snälla du
- föredragen
- Närvaron
- föregående
- tidigare
- Innan
- privat
- förmodligen
- process
- processer
- producera
- Profil
- projekt
- protokoll
- ge
- förutsatt
- ger
- tillhandahålla
- ombud
- allmän
- publicly
- publicerade
- utgivare
- snabbt
- snarare
- insåg
- resumé
- mottagna
- senaste
- nyligen
- registrerat
- relaterad
- relation
- avlägsen
- avlägsnande
- rapport
- Rapporterad
- Rapport
- representerar
- representerade
- forskning
- forskaren
- forskare
- respons
- avslöjade
- Rik
- Roll
- Rumänien
- Regel
- Körning
- rinnande
- Samma
- sekunder
- §
- Sektorer
- säkert
- säkerhet
- Serier
- Servrar
- service
- Tjänster
- in
- flera
- delas
- Shell
- Visar
- signerad
- signifikant
- liknande
- Likheterna
- eftersom
- enda
- Storlek
- storlekar
- sova
- So
- än så länge
- Social hållbarhet
- Samhällsteknik
- Mjukvara
- några
- något
- Sony
- Söder
- sydkoreansk
- specifik
- Etapp
- stadier
- standard
- igång
- Stater
- Steg
- förvaring
- lagras
- lagrar
- ström
- Stärka
- stärker
- stark
- starkt
- studio
- Inlagor
- lämnats
- väsentlig
- Föreslår
- leverera
- leveranskedjan
- Symbolen
- syntax
- system
- System
- bord
- Målet
- riktade
- targeting
- mål
- Teknisk
- tekniker
- Tekniken
- än
- den där
- Smakämnen
- deras
- Dem
- sig själva
- Dessa
- tredje part
- detta
- hot
- hotaktörer
- tre
- Genom
- tid
- tidslinje
- Tips
- till
- tillsammans
- token
- verktyg
- verktyg
- trafik
- behandling
- triggas
- typisk
- typografi
- unix
- Uppdatering
- uppdaterad
- URL
- us
- användning
- Begagnade
- Användare
- användare
- utnyttja
- Variant
- olika
- leverantör
- version
- via
- Victim
- offer
- Virtuell
- virtuell maskin
- Besök
- vmware
- vs
- Wardle
- var
- Sätt..
- we
- webb
- webbläsare
- Webbplats
- veckor
- VÄL
- były
- Vad
- om
- som
- bred
- wikipedia
- kommer
- fönster
- med
- Arbete
- skulle
- linda
- skriven
- år
- zephyrnet
- Postnummer