DreamJob Operasyonunda kullanılan yeni keşfedilen Linux kötü amaçlı yazılımıyla benzerlikler, 3CX tedarik zinciri saldırısının arkasında Kuzey Kore bağlantılı kötü şöhretli grubun olduğu teorisini destekliyor.
ESET araştırmacıları, Linux kullanıcılarını hedefleyen yeni bir Lazarus Operasyonu DreamJob kampanyası keşfetti. DreamJob Operasyonu, grubun hedeflerinden taviz vermek için sosyal mühendislik tekniklerini kullandığı ve sahte iş tekliflerinin cazibesi olduğu bir dizi kampanyanın adıdır. Bu durumda, yem olarak sahte bir HSBC iş teklifi sunan ZIP dosyasından nihai yüke kadar tüm zinciri yeniden inşa edebildik: SimplexTea Linux arka kapısı, bir ağ aracılığıyla dağıtıldı. OpenDrive bulut depolama hesabı. Bildiğimiz kadarıyla, bu operasyonun bir parçası olarak Linux kötü amaçlı yazılımını kullanan Kuzey Kore bağlantılı bu büyük tehdit aktörünün kamuoyunda ilk kez bahsi geçiyor.
Ek olarak, bu keşif, son 3CX tedarik zinciri saldırısının aslında Lazarus tarafından gerçekleştirildiğini büyük bir güvenle doğrulamamıza yardımcı oldu - bu bağlantı en başından beri şüphelenildi ve o zamandan beri birçok güvenlik araştırmacısı tarafından gösterildi. Bu blog yazısında, bu bulguları doğruluyor ve Lazarus ile 3CX tedarik zinciri saldırısı arasındaki bağlantı hakkında ek kanıtlar sunuyoruz.
3CX tedarik zinciri saldırısı
3CX, birçok kuruluşa telefon sistemi hizmetleri sağlayan uluslararası bir VoIP yazılım geliştiricisi ve distribütörüdür. Web sitesine göre 3CX'in havacılık, sağlık ve konaklama dahil olmak üzere çeşitli sektörlerde 600,000'den fazla müşterisi ve 12,000,000 kullanıcısı var. Sistemlerini bir web tarayıcısı, mobil uygulama veya bir masaüstü uygulaması aracılığıyla kullanmak için istemci yazılımı sağlar. Mart 2023'ün sonlarında, hem Windows hem de macOS için masaüstü uygulamasının, bir grup saldırganın uygulamanın yüklendiği tüm makinelerde rasgele kod indirip çalıştırmasını sağlayan kötü amaçlı kod içerdiği keşfedildi. Hızla, bu kötü amaçlı kodun 3CX'in kendilerinin eklediği bir şey olmadığı, ancak 3CX'in güvenliğinin ihlal edildiği ve yazılımının, belirli 3CX müşterilerine ek kötü amaçlı yazılım dağıtmak için harici tehdit aktörleri tarafından yönlendirilen bir tedarik zinciri saldırısında kullanıldığı belirlendi.
Bu siber olay son günlerde manşetlere taşındı. İlk olarak 29 Mart'ta bildirildith, 2023 yılında Reddit bir CrowdStrike mühendisi tarafından ileti dizisi ve ardından resmi bir rapor CrowdStrike, şirketin Lazarus kod adı olan LABIRINTH CHOLLIMA'nın saldırının arkasında olduğunu büyük bir güvenle belirtiyor (ancak iddiayı destekleyen herhangi bir kanıtı atlıyor). Olayın ciddiyeti nedeniyle, birden fazla güvenlik şirketi olayların özetlerini sunmaya başladı: Sophos, Check Point, Broadcom, Trend MicroVe daha fazlası.
Ayrıca, saldırının macOS çalıştıran sistemleri etkileyen kısmı ayrıntılı olarak ele alındı. Twitter iplik ve bir Blog yazısı Patrick Wardle tarafından.
Etkinliklerin zaman çizelgesi
Zaman çizelgesi, faillerin saldırıları infazdan çok önce planladıklarını gösteriyor; Aralık 2022 gibi erken bir tarihte. Bu, geçen yılın sonlarında 3CX ağında zaten bir yer edindiklerini gösteriyor.
Trojenleştirilmiş 3CX macOS uygulaması, Ocak ayı sonlarında imzalandığını gösterirken, 14 Şubat'a kadar telemetrimizde kötü uygulamayı görmedik.th, 2023. macOS için kötü niyetli güncellemenin bu tarihten önce dağıtılıp dağıtılmadığı belli değil.
ESET telemetrisi, macOS ikinci aşama yükünün varlığını Şubat ayı başlarında gösterse de, bunun kötü niyetli olduğu konusunda bize ipucu verecek örneğe veya meta verilere sahip değildik. Bu bilgileri, savunucuların sistemlerin ne kadar geri kalmış olabileceğini belirlemelerine yardımcı olmak için dahil ediyoruz.
Saldırının kamuya açıklanmasından birkaç gün önce, VirusTotal'a gizemli bir Linux indirici gönderildi. Linux için yeni bir Lazarus kötü amaçlı yükü indirir ve bunun saldırıyla ilişkisini metnin ilerleyen kısımlarında açıklarız.
3CX tedarik zinciri saldırısının Lazarus'a atfedilmesi
Zaten yayınlananlar
İlişkilendirme muhakememizde önemli bir rol oynayan bir alan vardır: gazetecilik[.]org. Yukarıda bağlantısı verilen bazı satıcı raporlarında bahsediliyor, ancak varlığı asla açıklanmıyor. İlginç bir şekilde, makaleler SentinelBir ve AmaçBkz. bu etki alanından bahsetme. Bir blog gönderisi de Seslilikatıf yapmaktan bile kaçınan, "Volexity şu anda açıklanan etkinliği herhangi bir tehdit aktörüne eşleyemiyor". Analistleri, saldırıyı derinlemesine araştıran ilk kişiler arasındaydı ve GitHub'daki şifrelenmiş simgelerden C&C sunucularının bir listesini çıkarmak için bir araç geliştirdiler. Saldırganlar, C&C sunucularını doğrudan ara aşamalara yerleştirmedikleri, bunun yerine GitHub'ı ölü bırakma çözümleyicisi olarak kullandıkları için bu araç kullanışlıdır. Ara aşamalar, Windows ve macOS için IconicLoaders olarak adlandırdığımız downloader'lar ve sırasıyla IconicStealer ve UpdateAgent olarak aldıkları payload'lardır.
Mart 30 günüth, Joe Desimone, bir güvenlik araştırmacısı Elastik Güvenliksağlayan ilk şirketler arasında yer aldı. Twitter 3CX güdümlü tavizlerin muhtemelen Lazarus ile bağlantılı olduğuna dair önemli ipuçları. Yükün başına eklenmiş bir kabuk kodu saplaması olduğunu gözlemledi. d3dcompiler_47.dll tarafından Lazarus'a atfedilen AppleJeus yükleyici koçanlarına benzer CISA Nisan ayında 2021.
Mart 31 günüst öyleydi olmak rapor 3CX'in Mandiant'ı tedarik zinciri saldırısıyla ilgili olay müdahale hizmetleri sağlaması için tuttuğunu.
Nisan'da 3rd, Kaspersky, telemetrisi aracılığıyla, 3CX tedarik zinciri kurbanları ile Gopuram adlı bir arka kapının konuşlandırılması arasında doğrudan bir ilişki olduğunu gösterdi; her ikisi de ortak bir ada sahip yükleri içeriyordu, guard64.dll. Kaspersky verileri, Gopuram'ın Lazarus ile bağlantılı olduğunu, çünkü kurban makinelerde yan yana var olduğunu gösteriyor. elmaJeus, zaten Lazarus'a atfedilen kötü amaçlı yazılım. Hem Gopuram hem de AppleJeus, bir kripto para şirketine yönelik saldırılarda gözlemlendi.
Ardından 11 Nisan'dath3CX'in CISO'su, Mandiant'ın ara bulgularını bir raporda özetledi. Blog yazısı. Bu rapora göre, iki Windows kötü amaçlı yazılım örneği, TAXHAUL adlı bir kabuk kodu yükleyicisi ve COLDCAT adlı karmaşık bir indirici, 3CX'in ele geçirilmesine dahil oldu. Karma sağlanmadı, ancak Mandiant'ın TAXHAUL adlı YARA kuralı, zaten VirusTotal'da bulunan diğer örneklerde de tetikleniyor:
- SHA-1: 2ACC6F1D4656978F4D503929B8C804530D7E7CF6 (ualapi.dll),
- SHA-1: DCEF83D8EE080B54DC54759C59F955E73D67AA65 (wlbsctrl.dll)
Bu örneklerin dosya adları, ancak MD5'leri değil, Kaspersky'nin blog gönderisindekilerle örtüşüyor. Ancak 3CX, COLDCAT'in Gopuram'dan farklı olduğunu açıkça belirtir.
Bir sonraki bölüm, yakın zamanda analiz ettiğimiz yeni Lazarus kötü amaçlı Linux yükünün teknik açıklamasını ve bunun Lazarus ile 3CX uzlaşması arasındaki mevcut bağlantıyı güçlendirmemize nasıl yardımcı olduğunu içerir.
Linux yükü ile DreamJob Operasyonu
Lazarus grubunun DreamJob Operasyonu, LinkedIn aracılığıyla hedeflere yaklaşmayı ve onları sektör liderlerinden gelen iş teklifleriyle cezbetmeyi içeriyor. İsim, ClearSky tarafından bir kâğıt Ağustos 2020'de yayınlandı. Bu belge, savunma ve havacılık şirketlerini hedef alan bir Lazarus siber casusluk kampanyasını anlatıyor. Faaliyet, en az XNUMX'den beri devam etmekte olan bir dizi siber casusluk saldırısı olan Operasyon İstisnası olarak adlandırdığımız olayla örtüşüyor. Eylül 2019. Havacılık, askeri ve savunma şirketlerini hedefler ve başlangıçta yalnızca Windows'a özel kötü amaçlı araçlar kullanır. Temmuz ve Ağustos 2022'de, macOS'u hedefleyen iki Operasyon In(ter)ception örneği bulduk. Bir kötü amaçlı yazılım örneği şu adrese gönderildi: VirusTotal Brezilya'dan ve başka bir saldırı Arjantin'deki bir ESET kullanıcısını hedef aldı. Birkaç hafta önce, VirusTotal'da HSBC temalı bir PDF cazibesine sahip yerel bir Linux yükü bulundu. Bu, Lazarus'un tüm büyük masaüstü işletim sistemlerini hedefleme yeteneğini tamamlar.
Mart 20 günüth, Georgia ülkesinden bir kullanıcı VirusTotal'a şu adla bir ZIP arşivi gönderdi: HSBC iş teklifi.pdf.zip. Lazarus'un diğer DreamJob kampanyaları göz önüne alındığında, bu yük muhtemelen hedef odaklı kimlik avı veya LinkedIn'deki doğrudan mesajlar aracılığıyla dağıtılmıştır. Arşiv tek bir dosya içerir: Go'da yazılmış ve adlandırılmış yerel bir 64-bit Intel Linux ikili dosyası HSBC iş teklifi․pdf.
İlginç bir şekilde, dosya uzantısı değil .pdf. Bunun nedeni, dosya adındaki görünen nokta karakterinin bir lider nokta U+2024 Unicode karakteri ile temsil edilir. Dosya adında lider noktanın kullanılması, muhtemelen dosya yöneticisini dosyayı PDF yerine yürütülebilir bir dosya olarak ele alması için kandırma girişimiydi. Bu, dosyanın bir PDF görüntüleyici ile açılması yerine çift tıklandığında çalışmasına neden olabilir. Yürütme sırasında, kullanıcıya bir sahte PDF görüntülenir. xdg açık, kullanıcının tercih ettiği PDF görüntüleyiciyi kullanarak belgeyi açar (bkz. Şekil 3). Diğer platformlardaki IconicLoaders ile benzer bir role sahip olduğu ve yük OpenDrive'dan getirildiği için bu ELF indiricisine OdicLoader adını vermeye karar verdik.
OdicLoader sahte bir PDF belgesi bırakır, sistemin varsayılan PDF görüntüleyicisini kullanarak görüntüler (bkz. Şekil 2) ve ardından ikinci aşama arka kapıyı bilgisayardan indirir. OpenDrive Bulut hizmeti. İndirilen dosya şurada saklanır: ~/.config/guiconfigd (SHA-1: 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF). Bu ikinci aşamaya arka kapı SimplexTea diyoruz.
Yürütülmesinin son adımı olarak, OdicLoader değiştirir ~ / .bash_profile, böylece SimplexTea, Bash ile başlatılır ve çıktısı kapatılır (~/.config/guiconfigd >/dev/null 2>&1).
SimplexTea, C++ ile yazılmış bir Linux arka kapısıdır. Tablo 1'de vurgulandığı gibi, sınıf adları, dosya adı ile bir örnekte bulunan işlev adlarına çok benzer. sistem ağı, Romanya'dan VirusTotal'a gönderildi (SHA-1: F6760FB1F8B019AF2304EA6410001B63A1809F1D). SimplexTea ile sınıf adları ve işlev adlarındaki benzerlikler nedeniyle sistem ağıSimplexTea'nın C'den C++'a yeniden yazılan güncellenmiş bir sürüm olduğuna inanıyoruz.
Tablo 1. VirusTotal'a gönderilen iki Linux arka kapısından alınan orijinal sembol adlarının karşılaştırması
guiconfigd |
sistem ağı |
CMsgCmd::Başlat(geçersiz) | MSG_Cmd |
CmsgGüvenliOf::Başlat(geçersiz) | MSG_Del |
CMsgDir::Başlat(geçersiz) | MSG_Dir |
CMesaj Aşağı::Başlat(geçersiz) | MSG_Aşağı |
CMesajÇıkış::Başlat(geçersiz) | MSG_Çıkış |
CMsgReadConfig::Başlat(geçersiz) | MSG_ReadConfig |
CMesaj Çalıştır::Başlat(geçersiz) | MSG_Çalıştır |
CMsgSetPath::Başlat(geçersiz) | MSG_SetPath |
Cmesaj uyku::Başlat(geçersiz) | MSG_Uyku |
CMesaj Testi::Başlat(geçersiz) | MSG_Test |
CMsjYukarı::Başlat(geçersiz) | MSG_Yukarı |
CMsgWriteConfig::Başlat(geçersiz) | MSG_WriteConfig |
MSG_GetComInfo | |
CMsgHibernate::Başlat(geçersiz) | |
CMsgKeepCon::Başlat(geçersiz) | |
CMsgZipDown::Başlat(geçersiz) | |
CMsgZip::StartZip(geçersiz *) | |
CMsgZip::Başlat(geçersiz) | |
CHttpWrapper::RecvData(uchar *&,uint *,uint,signed char) | |
Alım Mesajı | |
CHttpWrapper::Mesaj Gönder(_MSG_STRUCT *) | Mesaj Gönder |
CHttpWrapper::SendData(uchar *,uint,uint) | |
CHttpWrapper::SendMsg(uint,uint,uchar *,uint,uint) | |
CHttpWrapper::SendLoginData(uchar *,uint,uchar *&,uint *) |
Nasıl sistem ağı Lazarus'la ilgili mi? Aşağıdaki bölüm, Lazarus'un BADCALL adlı Windows arka kapısı ile benzerlikleri göstermektedir.
Linux için BADCALL
biz atfederiz sistem ağı Aşağıdaki iki dosyayla benzerlikleri nedeniyle Lazarus'a (ve biz inanıyoruz ki sistem ağı grubun Windows için arka kapısının BADCALL adlı bir Linux çeşididir):
- P2P_DLL.dll (SHA-1: 65122E5129FC74D6B5EBAFCC3376ABAE0145BC14), kod benzerliklerini gösteren sistem ağı sahte TLS bağlantısı için paravan olarak kullanılan etki alanları biçiminde (bkz. Şekil 4). CISA tarafından Lazarus'a atfedilmiştir. Aralık 2017. Itibaren Eylül 2019, CISA, bu kötü amaçlı yazılımın daha yeni sürümlerini BADCALL (SHA-1: D288766FA268BC2534F85FD06A5D52264E646C47).
- prtspool (SHA-1: 58B0516D28BD7218B1908FB266B8FE7582E22A5F), kod benzerliklerini gösteren sistem ağı (bkz. Şekil 5). tarafından Lazarus'a atfedilmiştir. CISA Şubat 2021'de. 3CX olay müdahalesi sırasında bulunan bir macOS arka kapısı olan SIMPLESEA'nın A5 / 1 kesintisiz şifreleme.
BADCALL arka kapısının bu Linux sürümü, sistem ağıadlı bir dosyadan yapılandırmasını yükler. /tmp/vgauthsvclog. Lazarus operatörleri daha önce yüklerini gizlediği için VMware Guest Authentication hizmeti tarafından kullanılan bu ismin kullanılması, hedeflenen sistemin bir Linux VMware sanal makinesi olabileceğini akla getiriyor. İlginç bir şekilde, bu durumdaki XOR anahtarı, 3CX araştırmasında SIMPLESEA'da kullanılanla aynıdır.
Üç 32 bit tamsayıya bir göz atarak, 0xC2B45678, 0x90ABCDEF, ve 0xFE268455 A5/5 şifresinin özel bir uygulaması için bir anahtarı temsil eden Şekil 1'ten, aynı algoritmanın ve aynı anahtarların, 2014'ün sonuna kadar uzanan ve en çok yer alan Windows kötü amaçlı yazılımlarında kullanıldığını fark ettik. kötü şöhretli Lazarus vakaları: Sony Pictures Entertainment'ın siber sabotajı (SHA-1: 1C66E67A8531E3FF1C64AE57E6EDFDE7BEF2352D).
Ek ilişkilendirme veri noktaları
Şimdiye kadar ele aldıklarımızı özetlemek için, 3CX tedarik zinciri saldırısını büyük bir güvenle Lazarus grubuna atfediyoruz. Bu, aşağıdaki faktörlere dayanmaktadır:
- Kötü amaçlı yazılım (izinsiz giriş seti):
- İkonik Yükleyici (samcli.dll) SimplexTea ile aynı güçlü şifreleme türünü – AES-GCM – kullanır (Lazarus'a atfı Linux için BALLCALL ile benzerliği yoluyla kurulmuştur); yalnızca anahtarlar ve başlatma vektörleri farklıdır.
- PE Zengin Başlıklarına dayalı olarak, hem IconicLoader (samcli.dll) ve IconicStealer (sechost.dll) benzer boyutta projelerdir ve yürütülebilir dosyalar ile aynı Visual Studio ortamında derlenir Iertutil.dll (SHA-1: 5B03294B72C0CAA5FB20E7817002C600645EB475) Ve Iertutil.dll (SHA-1: 7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC) tarafından Lazarus kripto para birimi kampanyalarında bildirildi Seslilik ve Microsoft. YARA kuralının altına dahil ediyoruz RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023mevcut ESET veritabanlarında ve son VirusTotal gönderimlerinde test edildiği gibi, tüm bu örnekleri işaretler ve ilgisiz kötü amaçlı veya temiz dosyaları içermez.
- SimplexTea yükü, yapılandırmasını 3CX resmi olay müdahalesindeki SIMPLESEA kötü amaçlı yazılımına çok benzer bir şekilde yükler. XOR tuşu farklıdır (0x5E vs 0x7E), ancak yapılandırma aynı adı taşır: apdl.cf (bkz. Şekil 8).
- altyapı:
- SimplexTea kullandığı için paylaşımlı ağ altyapısı vardır. https://journalide[.]org/djour.php alanı raporlanan C&C olarak resmi sonuçlar Mandiant tarafından 3CX uzlaşmasının olay yanıtının.
Sonuç
3CX uzlaşması, 29 Mart'ta açıklanmasından bu yana güvenlik topluluğunun büyük ilgisini çekti.th. Çeşitli BT altyapılarında dağıtılan ve her türlü yükün indirilmesine ve yürütülmesine izin veren bu gizliliği ihlal edilmiş yazılımın yıkıcı etkileri olabilir. Ne yazık ki, hiçbir yazılım yayıncısı, tehlikeye atılmaktan ve uygulamalarının yanlışlıkla trojenleştirilmiş sürümlerini dağıtmaktan muaf değildir.
Bir tedarik zinciri saldırısının gizliliği, bu kötü amaçlı yazılım dağıtma yöntemini bir saldırganın bakış açısından çok çekici hale getirir. Lazarus zaten kullandı bu teknik geçmişte, 2020'de WIZVERA VeraPort yazılımının Güney Koreli kullanıcılarını hedefliyor. Lazarus araç setindeki mevcut kötü amaçlı yazılımlarla ve grubun tipik teknikleriyle olan benzerlikler, son 3CX uzlaşmasının da Lazarus'un işi olduğunu kuvvetle gösteriyor.
Lazarus'un tüm büyük masaüstü işletim sistemleri için kötü amaçlı yazılım üretebileceğini ve kullanabileceğini belirtmek de ilginçtir: Windows, macOS ve Linux. 3CX olayı sırasında hem Windows hem de macOS sistemleri hedef alındı; 3CX'in her iki işletim sistemi için VoIP yazılımı, keyfi yükleri almak için kötü amaçlı kod içerecek şekilde trojanlaştırıldı. 3CX söz konusu olduğunda, hem Windows hem de macOS ikinci aşama kötü amaçlı yazılım sürümleri mevcuttur. Bu makale, muhtemelen 3CX olayında görülen SIMPLESEA macOS kötü amaçlı yazılımına karşılık gelen bir Linux arka kapısının varlığını göstermektedir. Bu Linux bileşenine SimplexTea adını verdik ve bunun, Lazarus'un masum kurbanları cezbetmek ve tehlikeye atmak için iş tekliflerini kullanan amiral gemisi kampanyası DreamJob Operasyonunun bir parçası olduğunu gösterdik.
ESET Research, özel APT istihbarat raporları ve veri akışları sunar. Bu hizmetle ilgili tüm sorularınız için şu adresi ziyaret edin: ESET Tehdit İstihbaratı gidin.
IOCs
dosyalar
SHA-1 | Dosya adı | ESET algılama adı | Açıklama |
---|---|---|---|
0CA1723AFE261CD85B05C9EF424FC50290DCE7DF | guiconfigd | Linux/NukeSped.E | Linux için SimplexTea. |
3A63477A078CE10E53DFB5639E35D74F93CEFA81 | HSBC_job_offer․pdf | Linux/NukeSped.E | OdicLoader, Go ile yazılmış, Linux için 64 bitlik bir indiricidir. |
9D8BADE2030C93D0A010AA57B90915EB7D99EC82 | HSBC_job_offer.pdf.zip | Linux/NukeSped.E | VirusTotal'dan Linux yüküne sahip bir ZIP arşivi. |
F6760FB1F8B019AF2304EA6410001B63A1809F1D | sistem ağı | Linux/NukeSped.G | Linux için BADCALL. |
İlk görüş | 2023-03-20 12:00:35 |
---|---|
MD5 | CEDB9CDBAD254F60CFB215B9BFF84FB9 |
SHA-1 | 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF |
SHA-256 | EEBB01932DE0B5605DD460CC82844D8693C00EA8AB5FFDF8DBEDE6528C1C18FD |
Dosya adı | guiconfigd |
Açıklama | Linux için SimplexTea. |
C&C | https://journalide[.]org/djour.php |
dan indirilen | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
Bulma | Linux/NukeSped.E |
PE derleme zaman damgası | N / A |
İlk görüş | 2023-03-16 07:44:18 |
---|---|
MD5 | 3CF7232E5185109321921046D039CF10 |
SHA-1 | 3A63477A078CE10E53DFB5639E35D74F93CEFA81 |
SHA-256 | 492A643BD1EFDACA4CA125ADE1B606E7BBF00E995AC9115AC84D1C4C59CB66DD |
Dosya adı | HSBC_job_offer․pdf |
Açıklama | OdicLoader, Go'da Linux için 64 bitlik bir indirici. |
C&C | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
dan indirilen | N / A |
Bulma | Linux/NukeSped.E |
PE derleme zaman damgası | N / A |
İlk görüş | 2023-03-20 02:23:29 |
---|---|
MD5 | FC41CB8425B6432AF8403959BB59430D |
SHA-1 | 9D8BADE2030C93D0A010AA57B90915EB7D99EC82 |
SHA-256 | F638E5A20114019AD066DD0E856F97FD865798D8FBED1766662D970BEFF652CA |
Dosya adı | HSBC_job_offer.pdf.zip |
Açıklama | VirusTotal'dan Linux yüküne sahip bir ZIP arşivi. |
C&C | N / A |
dan indirilen | N / A |
Bulma | Linux/NukeSped.E |
PE derleme zaman damgası | N / A |
İlk görüş | 2023-02-01 23:47:05 |
---|---|
MD5 | AAC5A52B939F3FE792726A13FF7A1747 |
SHA-1 | F6760FB1F8B019AF2304EA6410001B63A1809F1D |
SHA-256 | CC307CFB401D1AE616445E78B610AB72E1C7FB49B298EA003DD26EA80372089A |
Dosya adı | sistem ağı |
Açıklama | Linux için BADCALL. |
C&C | tcp://23.254.211[.]230 |
dan indirilen | N / A |
Bulma | Linux/NukeSped.G |
PE derleme zaman damgası | N / A |
ağ
IP adresi | domain | Hosting sağlayıcısı | İlk görüş | - Detaylar |
---|---|---|---|---|
23.254.211[.]230 | N / A | Hostwinds LLC. | N / A | Linux için BADCALL için C&C sunucusu |
38.108.185[.]79 38.108.185[.]115 |
o[.]lk | Cogent İletişim | 2023-03-16 | SimplexTea (/d/NTJfMzg4MDE1NzJf/vxmedia) |
172.93.201[.]88 | gazetecilik[.]org | Nexeon Teknolojileri, Inc. | 2023-03-29 | SimplexTea için C&C sunucusu (/djour.php) |
MITRE ATT&CK teknikleri
taktik | ID | Name | Açıklama |
---|---|---|---|
Keşif | T1593.001 | Açık Web Sitelerini/Etki Alanlarını Arayın: Sosyal Medya | Lazarus saldırganları muhtemelen bir hedefe hedefin çıkarına uygun sahte bir HSBC temalı iş teklifiyle yaklaşmışlardır. Bu, geçmişte çoğunlukla LinkedIn aracılığıyla yapıldı. |
Kaynak geliştirme | T1584.001 | Altyapı Edinme: Etki Alanları | DreamJob Operasyonunda kullanılan daha önceki pek çok güvenliği ihlal edilmiş C&C vakasının aksine, Lazarus operatörleri Linux hedefi için kendi etki alanlarını kaydettirdi. |
T1587.001 | Yetenek Geliştirme: Kötü Amaçlı Yazılım | Saldırıdan özel araçlar büyük olasılıkla saldırganlar tarafından geliştirilmiştir. | |
T1585.003 | Hesap Oluşturma: Bulut Hesapları | Saldırganlar, son aşamayı OpenDrive bulut hizmeti üzerinde barındırdı. | |
T1608.001 | Aşama Yetenekleri: Kötü Amaçlı Yazılım Yükleme | Saldırganlar, son aşamayı OpenDrive bulut hizmeti üzerinde barındırdı. | |
infaz | T1204.002 | Kullanıcı Yürütme: Kötü Amaçlı Dosya | OdicLoader, hedefi kandırmak için bir PDF dosyası gibi davranır. |
İlk Erişim | T1566.002 | Kimlik Avı: Hedefli Kimlik Avı Bağlantısı | Hedef, muhtemelen daha sonra VirusTotal'a gönderilen kötü amaçlı bir ZIP arşivine sahip üçüncü taraf uzak depolamaya bir bağlantı aldı. |
Sebat | T1546.004 | Olay Tetiklemeli Yürütme: Unix Kabuğu Yapılandırma Değişikliği | OdicLoader kurbanın Bash profilini değiştirir, böylece Bash her başlatıldığında ve çıktısı kapatıldığında SimplexTea başlatılır. |
Savunmadan Kaçınma | T1134.002 | Erişim Belirteci Manipülasyonu: Belirteçle Süreç Oluşturun | SimplexTea, C&C sunucusu tarafından talimat verilirse yeni bir süreç oluşturabilir. |
T1140 | Dosyaları veya Bilgileri Gizleme/Kod Çözme | SimplexTea, yapılandırmasını şifreli bir dosyada saklar. apdl.cf. | |
T1027.009 | Gizlenmiş Dosyalar veya Bilgiler: Katıştırılmış Yükler | Tüm kötü amaçlı zincirlerin damlalıkları, ek bir aşamaya sahip gömülü bir veri dizisi içerir. | |
T1562.003 | Savunmaları Bozma: Komut Geçmiş Günlüğünü Bozma | OdicLoader, kurbanın Bash profilini değiştirir, böylece SimplexTea'dan gelen çıktı ve hata mesajları kapatılır. SimplexTea yeni prosesleri aynı teknikle yürütür. | |
T1070.004 | Gösterge Kaldırma: Dosya Silme | SimplexTea, dosyaları güvenli bir şekilde silme özelliğine sahiptir. | |
T1497.003 | Sanallaştırma/Sandbox Kaçırma: Zamana Dayalı Kaçırma | SimplexTea, yürütülmesinde birden fazla özel uyku gecikmesi uygular. | |
Keşif | T1083 | Dosya ve Dizin Bulma | SimplexTea, dizin içeriğini adları, boyutları ve zaman damgalarıyla birlikte listeleyebilir (taklit ederek ls-la komutu). |
Komuta ve kontrol | T1071.001 | Uygulama Katmanı Protokolü: Web Protokolleri | SimplexTea, statik olarak bağlı bir Curl kitaplığı kullanarak C&C sunucusuyla iletişim için HTTP ve HTTPS'yi kullanabilir. |
T1573.001 | Şifreli Kanal: Simetrik Şifreleme | SimplexTea, C&C trafiğini AES-GCM algoritmasını kullanarak şifreler. | |
T1132.001 | Veri Kodlama: Standart Kodlama | SimplexTea, C&C trafiğini base64 kullanarak kodlar. | |
T1090 | vekil | SimplexTea, iletişim için bir proxy kullanabilir. | |
dumping | T1041 | C2 Kanalı Üzerinden Sızma | SimplexTea, verileri ZIP arşivleri olarak C&C sunucusuna sızdırabilir. |
Ek
Bu YARA kuralı, hem IconicLoader hem de IconicStealer'ı içeren kümenin yanı sıra Aralık 2022'den itibaren kripto para birimi kampanyalarında dağıtılan yükleri işaretler.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
/* The following rule will only work with YARA version >= 3.11.0 */ import “pe” rule RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023 { meta: description = ” Rich Headers-based rule covering the IconicLoader and IconicStealer from the 3CX supply chain incident, and also payloads from the cryptocurrency campaigns from 2022-12″ author = “ESET Research” date = “2023-03-31” hash = “3B88CDA62CDD918B62EF5AA8C5A73A46F176D18B” hash = “CAD1120D91B812ACAFEF7175F949DD1B09C6C21A” hash = “5B03294B72C0CAA5FB20E7817002C600645EB475” hash = “7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC” condition: pe.rich_signature.toolid(259, 30818) == 9 and pe.rich_signature.toolid(256, 31329) == 1 and pe.rich_signature.toolid(261, 30818) >= 30 and pe.rich_signature.toolid(261, 30818) <= 38 and pe.rich_signature.toolid(261, 29395) >= 134 and pe.rich_signature.toolid(261, 29395) <= 164 and pe.rich_signature.toolid(257, 29395) >= 6 and pe.rich_signature.toolid(257, 29395) <= 14 } |
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
- Adryenn Ashley ile Geleceği Basmak. Buradan Erişin.
- Kaynak: https://www.welivesecurity.com/2023/04/20/linux-malware-strengthens-links-lazarus-3cx-supply-chain-attack/
- :vardır
- :dır-dir
- :olumsuzluk
- $UP
- 000
- 000 Müşterileri
- 1
- 11
- 20
- 2014
- 2020
- 2021
- 2022
- 2023
- 39
- 7
- 8
- 9
- a
- kabiliyet
- Yapabilmek
- Hakkımızda
- yukarıdaki
- Göre
- Hesap
- Hesaplar
- etkinlik
- aktörler
- katma
- Ek
- Uzay
- etkileyen
- karşı
- algoritma
- Türkiye
- veriyor
- yanında
- zaten
- Ayrıca
- arasında
- an
- Analistler
- ve
- Başka
- herhangi
- uygulamayı yükleyeceğiz
- bariz
- çekici
- Uygulama
- uygulamaları
- yaklaşan
- Nisan
- APT
- Arşiv
- ARE
- Arjantin
- Dizi
- göre
- mal
- AS
- At
- saldırı
- saldırılar
- Dikkat
- Ağustos
- Doğrulama
- yazar
- Arka
- arka kapı
- arka kapılar
- destek
- Kötü
- merkezli
- darbe
- BE
- Ayılar
- Çünkü
- olmuştur
- önce
- Başlangıç
- arkasında
- olmak
- Inanmak
- altında
- arasında
- her ikisi de
- Brezilya
- tarayıcı
- by
- C + +
- çağrı
- denilen
- Kampanya
- Kampanyalar
- CAN
- yapamam
- yetenekleri
- dava
- durumlarda
- Sebeb olmak
- zincir
- zincirler
- Telegram Kanal
- karakter
- şifre
- CISO'su
- iddia
- sınıf
- müşteri
- bulut
- bulut depolama
- Küme
- kod
- icat
- COM
- ortak
- Yakın İletişim
- İletişim
- topluluk
- Şirketler
- şirket
- Şirketin
- karşılaştırma
- Tamamladı
- karmaşık
- bileşen
- uzlaşma
- Uzlaşılmış
- koşul
- yürütülen
- güven
- yapılandırma
- Onaylamak
- bağlı
- bağ
- UAF ile
- içermek
- içeren
- içerik
- katkıda bulunmak
- tekabül
- doğrulamak
- olabilir
- ülke
- kaplı
- kaplama
- yaratmak
- çevrimiçi kurslar düzenliyorlar.
- cryptocurrency
- akım
- Şu anda
- görenek
- Müşteriler
- veri
- veritabanları
- Tarih
- Tarih
- Günler
- ölü
- Aralık
- karar
- Varsayılan
- Defenders
- Savunma
- gecikmeleri
- sağlıyor
- gösterdi
- gösteriyor
- konuşlandırılmış
- açılma
- derinlik
- tanım
- masaüstü
- ayrıntı
- Bulma
- Belirlemek
- kararlı
- yıkıcı
- gelişmiş
- Geliştirici
- DID
- farklılık
- direkt
- direkt olarak
- ifşa
- keşfetti
- keşif
- görüntüler
- dağıtmak
- dağıtıldı
- dağıtım
- dağıtım
- belge
- domain
- etki
- DOT
- indir
- indirme
- tahrik
- Damla
- Damlalar
- dublajlı
- sırasında
- her
- Erken
- gömülü
- etkin
- şifreli
- şifreleme
- mühendis
- Mühendislik
- Entertainment
- çevre
- hata
- ESET Araştırması
- kurulmuş
- Hatta
- olaylar
- kanıt
- çalıştırır
- infaz
- mevcut
- Açıklamak
- açıkladı
- uzatma
- dış
- çıkarmak
- faktörler
- sahte
- Şubat
- Getirildi
- az
- şekil
- fileto
- dosyalar
- son
- Ad
- uygun
- bayraklar
- amiral gemisi
- takip
- takip etme
- İçin
- Airdrop Formu
- biçim
- bulundu
- itibaren
- ön
- tam
- işlev
- almak
- GitHub
- verilmiş
- Go
- grup
- Grubun
- Konuk
- esrar
- Var
- he
- başlıkları
- haber başlıkları
- sağlık
- yardım et
- yardım
- gizlemek
- Yüksek
- Vurgulanan
- tarih
- misafirperverlik
- ev sahipliği yaptı
- Ne kadar
- Ancak
- HSBC
- HTML
- http
- HTTPS
- özdeş
- Etkiler
- uygulama
- uygular
- ithalat
- in
- olay
- olay yanıtı
- dahil
- Dahil olmak üzere
- sanayi
- rezil
- bilgi
- Altyapı
- altyapı
- başlangıçta
- Araştırma
- yüklü
- yerine
- Intel
- İstihbarat
- faiz
- ilginç
- Uluslararası
- içine
- araştırmak
- soruşturma
- ilgili
- IT
- ONUN
- kendisi
- Ocak
- İş
- JOE
- Temmuz
- Kaspersky
- anahtar
- anahtarlar
- Nezaket.
- bilgi
- Koreli
- Soyad
- Geçen yıl
- Geç
- başlattı
- tabaka
- Lazarus
- Lazarus Grubu
- lider
- liderleri
- seviye
- Kütüphane
- Muhtemelen
- LINK
- bağlantılı
- bağlantılar
- linux
- Liste
- İyi
- yükleyici
- yükleme
- yükler
- Uzun
- Bakın
- Çok
- makine
- Makineler
- macos
- yapılmış
- büyük
- YAPAR
- kötü amaçlı yazılım
- müdür
- hile
- çok
- harita
- Mart
- maksimum genişlik
- Mayıs..
- adı geçen
- mesajları
- Meta
- Metadata
- yöntem
- Microsoft
- olabilir
- Askeri
- Telefon
- Mobil uygulama
- Daha
- çoğu
- çoklu
- gizemli
- isim
- adlı
- yani
- isimleri
- yerli
- ne
- ağ
- yeni
- sonraki
- Kuzey
- adı çıkmış
- of
- teklif
- Teklifler
- resmi
- on
- ONE
- devam
- bir tek
- açık
- açma
- işletme
- işletim sistemleri
- operasyon
- operatörler
- or
- sipariş
- organizasyonlar
- orijinal
- Diğer
- bizim
- çıktı
- tekrar
- kendi
- P&E
- Kanal
- kâğıt
- Bölüm
- geçmiş
- perspektif
- telefon
- Fotoğraf Galerisi
- planlanmış
- Platformlar
- Platon
- Plato Veri Zekası
- PlatoVeri
- Lütfen
- tercihli
- varlık
- önceki
- Önceden
- Önceki
- özel
- muhtemelen
- süreç
- Süreçler
- üretmek
- Profil
- Projeler
- protokol
- sağlamak
- sağlanan
- sağlar
- sağlama
- vekil
- halka açık
- alenen
- yayınlanan
- yayımcı
- hızla
- daha doğrusu
- fark
- tekrarlamak
- Alınan
- son
- geçenlerde
- kayıtlı
- ilgili
- ilişki
- uzak
- giderme
- rapor
- Bildirilen
- Raporlar
- temsil etmek
- temsil
- araştırma
- araştırmacı
- Araştırmacılar
- yanıt
- Açığa
- Zengin
- Rol
- Romanya
- Kural
- koşmak
- koşu
- aynı
- saniye
- Bölüm
- Sektörler
- Güvenli
- güvenlik
- Dizi
- Sunucular
- hizmet
- Hizmetler
- set
- birkaç
- Paylaşılan
- Kabuk
- Gösteriler
- imzalı
- önemli
- benzer
- benzerlikler
- beri
- tek
- beden
- boyutları
- uyku
- So
- şu ana kadar
- Sosyal Medya
- Sosyal mühendislik
- Yazılım
- biraz
- bir şey
- Sony
- güney
- güney Koreli
- özel
- Aşama
- aşamaları
- standart
- başladı
- Devletler
- adım
- hafızası
- saklı
- mağaza
- dere
- Güçlendirmek
- Güçlendiriyor
- güçlü
- şiddetle
- stüdyo
- Gönderimler
- gönderilen
- önemli
- Önerdi
- arz
- tedarik zinciri
- sembol
- sözdizimi
- sistem
- Sistemler
- tablo
- Hedef
- Hedeflenen
- hedefleme
- hedefler
- Teknik
- teknikleri
- Teknolojileri
- göre
- o
- The
- ve bazı Asya
- Onları
- kendilerini
- Bunlar
- üçüncü şahıslara ait
- Re-Tweet
- tehdit
- tehdit aktörleri
- üç
- İçinden
- zaman
- zaman çizelgesi
- tip
- için
- birlikte
- simge
- araç
- araçlar
- trafik
- tedavi
- tetiklenir
- tipik
- matbaacılık
- unix
- Güncelleme
- güncellenmiş
- URL
- us
- kullanım
- Kullanılmış
- kullanıcı
- kullanıcılar
- kullanmak
- Varyant
- çeşitli
- satıcı
- versiyon
- üzerinden
- Kurban
- kurbanlar
- Sanal
- Sanal makine
- Türkiye Dental Sosyal Medya Hesaplarından bizi takip edebilirsiniz.
- vmware
- vs
- Wardle
- oldu
- Yol..
- we
- ağ
- web tarayıcı
- Web sitesi
- Haftalar
- İYİ
- vardı
- Ne
- olup olmadığını
- hangi
- geniş
- Vikipedi
- irade
- pencereler
- ile
- İş
- olur
- sarın
- yazılı
- yıl
- zefirnet
- zip