Подібність із нещодавно виявленим зловмисним програмним забезпеченням Linux, яке використовувалося в операції DreamJob, підтверджує теорію про те, що за атакою на ланцюг поставок 3CX стоїть сумнозвісне угруповання, пов’язане з Північною Кореєю.
Дослідники ESET виявили нову кампанію Lazarus Operation DreamJob, націлену на користувачів Linux. Operation DreamJob — це назва серії кампаній, у яких група використовує методи соціальної інженерії, щоб скомпрометувати своїх цілей, використовуючи фальшиві пропозиції роботи як приманку. У цьому випадку ми змогли реконструювати повний ланцюжок, починаючи з ZIP-файлу, який доставляє підроблену пропозицію про роботу в HSBC як приманку, до остаточного корисного навантаження: бекдора SimplexTea Linux, що поширюється через OpenDrive обліковий запис хмарного сховища. Наскільки нам відомо, це перша публічна згадка про те, що ця велика загроза, пов’язана з Північною Кореєю, використовує шкідливе програмне забезпечення Linux у рамках цієї операції.
Крім того, це відкриття допомогло нам підтвердити з високим рівнем упевненості, що нещодавню атаку на ланцюг поставок 3CX насправді здійснив Lazarus – зв’язок, який підозрювався з самого початку та продемонстрований кількома дослідниками безпеки з того часу. У цій публікації в блозі ми підтверджуємо ці висновки та надаємо додаткові докази зв’язку між Lazarus і атакою на ланцюг поставок 3CX.
Атака на ланцюг поставок 3CX
3CX — це міжнародний розробник і дистриб’ютор програмного забезпечення VoIP, який надає послуги телефонної системи багатьом організаціям. Відповідно до веб-сайту 3CX має понад 600,000 12,000,000 клієнтів і 2023 3 3 користувачів у різних секторах, включаючи аерокосмічну сферу, охорону здоров’я та готельний бізнес. Він надає клієнтське програмне забезпечення для використання своїх систем через веб-браузер, мобільний додаток або додаток для настільного комп’ютера. Наприкінці березня 3 року було виявлено, що настільна програма як для Windows, так і для macOS містила шкідливий код, який дозволяв групі зловмисників завантажувати та запускати довільний код на всіх машинах, де була встановлена програма. Швидко було встановлено, що цей зловмисний код не був тим, що додала XNUMXCX, а що XNUMXCX було скомпрометовано, а його програмне забезпечення використовувалося в атаці на ланцюжок поставок, спричиненій зовнішніми загрозами для розповсюдження додаткового зловмисного програмного забезпечення конкретним клієнтам XNUMXCX.
Останніми днями цей кібер-інцидент потрапив у заголовки газет. Спочатку повідомлялося 29 березняth, 2023 в а Reddit ланцюжок інженера CrowdStrike, а потім офіційний звіт CrowdStrike, заявляючи з високою впевненістю, що LABIRINTH CHOLLIMA, кодова назва компанії для Lazarus, стоїть за атакою (але опускаючи будь-які докази, що підтверджують цю заяву). Через серйозність інциденту кілька охоронних компаній почали публікувати свої підсумки подій, а саме Sophos, Пункт контролю, Broadcom, Компанія Trend MicroІ багато іншого.
Крім того, частина атаки, що впливає на системи під керуванням macOS, була детально висвітлена в a Twitter нитка і a блогпост Патрік Вордл.
Хронологія подій
Хронологія показує, що злочинці планували напади задовго до страти; ще в грудні 2022 року. Це свідчить про те, що вони вже мали точку опори в мережі 3CX наприкінці минулого року.
Хоча троянська програма 3CX macOS показує, що її було підписано наприкінці січня, ми не бачили погану програму в нашій телеметрії до 14 лютогоth2023 р. Незрозуміло, чи зловмисне оновлення для macOS було розповсюджено раніше цієї дати.
Хоча дані телеметрії ESET показують існування другого етапу корисного навантаження macOS ще в лютому, ми не мали ні самого зразка, ні метаданих, які б повідомили нам про його зловмисність. Ми додаємо цю інформацію, щоб допомогти захисникам визначити, наскільки минулі системи могли бути скомпрометовані.
За кілька днів до публічного оприлюднення атаки таємничий завантажувач Linux був надісланий у VirusTotal. Він завантажує нове шкідливе корисне навантаження Lazarus для Linux, і ми пояснюємо його зв’язок з атакою далі в тексті.
Віднесення атаки на ланцюг поставок 3CX до Lazarus
Що вже опубліковано
Існує один домен, який відіграє важливу роль у нашому обґрунтуванні атрибуції: journalide[.]org. Він згадується в деяких звітах постачальників, на які посилаються вище, але його наявність ніколи не пояснюється. Цікаво, що статті о SentinelOne та МетаДив не згадуйте цей домен. Допис у блозі від Волексія, який навіть утримався від надання авторства, заявивши «Volexity наразі не може зіставити виявлену активність з будь-яким учасником загрози». Її аналітики були одними з перших, хто детально дослідив атаку, і вони створили інструмент для отримання списку серверів C&C із зашифрованих значків на GitHub. Цей інструмент корисний, оскільки зловмисники не вбудовували сервери C&C безпосередньо на проміжних етапах, а скоріше використовували GitHub як розпізнавач несправностей. Проміжними етапами є завантажувачі для Windows і macOS, які ми позначаємо як IconicLoaders, і корисні навантаження, які вони отримують як IconicStealer і UpdateAgent, відповідно.
У березні 30th, Джо Десімон, дослідник безпеки з Еластична безпека, був одним з перших, хто надав, в а Twitter потік, значні підказки того, що компроміси, керовані 3CX, ймовірно, пов’язані з Lazarus. Він помітив, що заглушка коду оболонки додається до корисного навантаження з d3dcompiler_47.dll подібний до заглушок завантажувача AppleJeus, які приписуються Lazarus СНД ще в квітні 2021.
У березні 31st це було буття повідомляє що 3CX залучив Mandiant для надання послуг реагування на інциденти, пов’язані з атаками на ланцюг поставок.
У квітні 3rd, Kaspersky, за допомогою телеметрії, показав прямий зв’язок між жертвами ланцюжка постачання 3CX і розгортанням бекдора під назвою Gopuram, обидва включаючи корисні навантаження із загальною назвою, guard64.dll. Дані Kaspersky показують, що Gopuram пов’язаний з Lazarus, оскільки він співіснував на машинах-жертвах AppleJeus, зловмисне програмне забезпечення, яке вже приписували Lazarus. І Гопурам, і AppleJeus були помічені в атаках на криптовалютну компанію.
Потім, 11 квітняth, CISO 3CX узагальнив проміжні висновки Mandiant у a блогпост. Відповідно до цього звіту, два зразки зловмисного програмного забезпечення Windows, завантажувач шелл-коду під назвою TAXHAUL і комплексний завантажувач під назвою COLDCAT, були залучені до компрометації 3CX. Жодних хешів не надано, але правило Mandiant YARA під назвою TAXHAUL також запускає інші зразки, які вже є на VirusTotal:
- SHA-1: 2ACC6F1D4656978F4D503929B8C804530D7E7CF6 (ualapi.dll),
- SHA-1: DCEF83D8EE080B54DC54759C59F955E73D67AA65 (wlbsctrl.dll)
Назви файлів, але не MD5, цих зразків збігаються з назвами з допису в блозі Касперського. Однак 3CX прямо заявляє, що COLDCAT відрізняється від Gopuram.
У наступному розділі міститься технічний опис нового шкідливого корисного навантаження Lazarus для Linux, яке ми нещодавно проаналізували, а також те, як воно допомогло нам зміцнити існуючий зв’язок між Lazarus і компромісом 3CX.
Операція DreamJob з корисним навантаженням Linux
Операція DreamJob групи Lazarus передбачає наближення до цілей через LinkedIn і спокусу їх пропозиціями роботи від лідерів галузі. Назва була придумана компанією ClearSky в a папір опубліковано в серпні 2020 року. У цій статті описується кампанія кібершпигунства Lazarus, націлена на оборонні та аерокосмічні компанії. Діяльність збігається з тим, що ми називаємо операцією «Перехоплення», серією атак кібершпигунства, які тривають принаймні з Вересень 2019. Він націлений на аерокосмічні, військові та оборонні компанії та використовує спеціальні шкідливі інструменти, спочатку лише для Windows. Протягом липня та серпня 2022 року ми виявили два випадки операції In(ter)ception, націленої на macOS. Один зразок зловмисного програмного забезпечення надіслано VirusTotal з Бразилії, а інша атака була спрямована на користувача ESET в Аргентині. Кілька тижнів тому на VirusTotal було знайдено оригінальне корисне навантаження Linux із приманкою PDF на тему HSBC. Це завершує здатність Lazarus націлюватися на всі основні настільні операційні системи.
У березні 20th, користувач із країни Джорджія надіслав VirusTotal ZIP-архів під назвою Пропозиція роботи в HSBC.pdf.zip. Враховуючи інші кампанії DreamJob від Lazarus, це корисне навантаження, ймовірно, було розповсюджено через приватний фішинг або прямі повідомлення на LinkedIn. Архів містить один файл: рідний 64-розрядний двійковий файл Intel Linux, написаний у Go та названий Пропозиція роботи в HSBC․pdf.
Цікаво, що розширення файлу не є . Pdf. Це пояснюється тим, що видимий символ крапки в назві файлу є a лідерна точка представлений символом U+2024 Unicode. Використання початкової крапки в назві файлу було, ймовірно, спробою змусити файловий менеджер розглядати файл як виконуваний файл, а не як PDF. Це може спричинити запуск файлу після подвійного клацання замість відкриття його за допомогою програми перегляду PDF. Під час виконання приманний PDF-файл відображається користувачеві за допомогою xdg-open, яка відкриє документ за допомогою вибраного користувачем засобу перегляду PDF (див. рис. 3). Ми вирішили назвати цей завантажувач ELF OdicLoader, оскільки він виконує подібну роль, як IconicLoaders на інших платформах, а корисне навантаження отримується з OpenDrive.
OdicLoader скидає приманний PDF-документ, відображає його за допомогою системного засобу перегляду PDF-файлів за замовчуванням (див. малюнок 2), а потім завантажує бекдор другого рівня з OpenDrive хмарний сервіс. Завантажений файл зберігається в ~/.config/guiconfigd (SHA-1: 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF). Ми називаємо цей бекдор другого етапу SimplexTea.
На останньому етапі свого виконання OdicLoader модифікує ~ / .bash_profile, тому SimplexTea запускається з Bash, а його вихідний сигнал вимкнено (~/.config/guiconfigd >/dev/null 2>&1).
SimplexTea — це бекдор Linux, написаний мовою C++. Як показано в таблиці 1, його імена класів дуже схожі на імена функцій, знайдені у зразку, з назвою файлу sysnetd, надісланий до VirusTotal з Румунії (SHA-1: F6760FB1F8B019AF2304EA6410001B63A1809F1D). Через схожість імен класів і імен функцій між SimplexTea і sysnetd, ми вважаємо, що SimplexTea є оновленою версією, переписаною з C на C++.
Таблиця 1. Порівняння оригінальних назв символів двох бекдорів Linux, надісланих у VirusTotal
guiconfigd |
sysnetd |
CMsgCmd::Початок(void) | MSG_Cmd |
CMsgБезпечнийЗ::Початок(void) | MSG_Del |
CMsgDir::Початок(void) | MSG_Dir |
CMsgDown::Початок(void) | MSG_Down |
CMsgExit::Початок(void) | MSG_Вихід |
CMsgReadConfig::Початок(void) | MSG_ReadConfig |
CMsgRun::Початок(void) | MSG_Run |
CMsgSetPath::Початок(void) | MSG_SetPath |
CMsgSleep::Початок(void) | MSG_Sleep |
CMsgTest::Початок(void) | MSG_Test |
CMsgUp::Початок(void) | MSG_Up |
CMsgWriteConfig::Початок(void) | MSG_WriteConfig |
MSG_GetComInfo | |
CMsgHibernate::Start(void) | |
CMsgKeepCon::Start(void) | |
CMsgZipDown::Start(void) | |
CMsgZip::StartZip(void *) | |
CMsgZip::Start(void) | |
CHttpWrapper::RecvData(uchar *&,uint *,uint,signed char) | |
RecvMsg | |
CHttpWrapper::SendMsg(_MSG_STRUCT *) | SendMsg |
CHttpWrapper::SendData(uchar *,uint,uint) | |
CHttpWrapper::SendMsg(uint,uint,uchar *,uint,uint) | |
CHttpWrapper::SendLoginData(uchar *,uint,uchar *&,uint *) |
Як sysnetd пов'язані з Лазарем? У наступному розділі показано схожість із бекдором Windows Lazarus під назвою BADCALL.
BADCALL для Linux
Приписуємо sysnetd для Lazarus через його схожість із наступними двома файлами (і ми віримо, що sysnetd це Linux-варіант бекдору групи для Windows під назвою BADCALL):
- P2P_DLL.dll (SHA-1: 65122E5129FC74D6B5EBAFCC3376ABAE0145BC14), який показує схожість коду з sysnetd у вигляді доменів, які використовуються як прикриття для підробленого з’єднання TLS (див. рис. 4). Це було приписано Лазарю CISA в грудня 2017, від Вересень 2019, CISA почала називати нові версії цього шкідливого програмного забезпечення BADCALL (SHA-1: D288766FA268BC2534F85FD06A5D52264E646C47).
- prtspool (SHA-1: 58B0516D28BD7218B1908FB266B8FE7582E22A5F), який показує схожість коду з sysnetd (див. Малюнок 5). Його приписували Лазарю СНД у лютому 2021 року. Також зауважте, що SIMPLESEA, бекдор macOS, виявлений під час реагування на інцидент 3CX, реалізує A5 / 1 потоковий шифр.
Ця версія бекдору BADCALL для Linux, sysnetd, завантажує свою конфігурацію з файлу під назвою /tmp/vgauthsvclog. Оскільки оператори Lazarus раніше маскували свої корисні дані, використання цієї назви, яка використовується службою гостьової автентифікації VMware, свідчить про те, що цільовою системою може бути віртуальна машина Linux VMware. Цікаво, що ключ XOR у цьому випадку той самий, що використовувався в SIMPLESEA з розслідування 3CX.
Дивлячись на три 32-розрядні цілі числа, 0xC2B45678, 0x90ABCDEF та 0xFE268455 на малюнку 5, який представляє ключ для спеціальної реалізації шифру A5/1, ми зрозуміли, що той самий алгоритм та ідентичні ключі використовувалися у зловмисному програмному забезпеченні Windows, яке датується кінцем 2014 року та бере участь в одній із найбільших горезвісні випадки Lazarus: кіберсаботаж Sony Pictures Entertainment (SHA-1: 1C66E67A8531E3FF1C64AE57E6EDFDE7BEF2352D).
Додаткові точки даних атрибуції
Підсумовуючи те, що ми висвітлювали досі, ми з високим рівнем впевненості приписуємо атаку на ланцюг поставок 3CX групі Lazarus. Це ґрунтується на таких факторах:
- Зловмисне програмне забезпечення (набір вторгнень):
- IconicLoader (samcli.dll) використовує той самий тип надійного шифрування – AES-GCM – як SimplexTea (чиє приписування Lazarus було встановлено через схожість із BALLCALL для Linux); відрізняються лише ключі та вектори ініціалізації.
- На основі PE Rich Headers обидва IconicLoader (samcli.dll) і IconicStealer (sechost.dll) є проектами подібного розміру та скомпільованими в тому ж середовищі Visual Studio, що й виконувані файли iertutil.dll (SHA-1: 5B03294B72C0CAA5FB20E7817002C600645EB475) і iertutil.dll (SHA-1: 7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC), повідомляється в кампаніях Lazarus щодо криптовалюти Волексія та Microsoft. Нижче ми наводимо правило YARA RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023, який позначає всі ці зразки та не пов’язаних зловмисних або чистих файлів, як перевірено на поточних базах даних ESET і нещодавно поданих VirusTotal.
- Корисне навантаження SimplexTea завантажує свою конфігурацію дуже подібно до зловмисного ПЗ SIMPLESEA з офіційної відповіді на інцидент 3CX. Ключ XOR відрізняється (0x5E проти 0x7E), але конфігурація має таку саму назву: apdl.cf (див. малюнок 8).
- Інфраструктура:
- Існує спільна мережева інфраструктура з SimplexTea, як вона використовує https://journalide[.]org/djour.php як C&C, домен якого вказано в офіційні результати реагування на інцидент компромісу 3CX від Mandiant.
Висновок
Компрометація 3CX привернула велику увагу спільноти безпеки після її розкриття 29 березняth. Це скомпрометоване програмне забезпечення, розгорнуте в різних ІТ-інфраструктурах, яке дозволяє завантажувати та виконувати будь-який вид корисного навантаження, може мати руйнівні наслідки. На жаль, жоден видавець програмного забезпечення не застрахований від злому та ненавмисного розповсюдження троянських версій своїх програм.
Прихованість атаки на ланцюжок постачання робить цей метод розповсюдження зловмисного програмного забезпечення дуже привабливим з точки зору зловмисника. Лазар вже використовував цієї техніки у минулому, орієнтуючись на південнокорейських користувачів програмного забезпечення WIZVERA VeraPort у 2020 році. Подібність із існуючим зловмисним програмним забезпеченням із набору інструментів Lazarus і з типовими методами групи переконливо свідчить про те, що недавній компроміс 3CX також є роботою Lazarus.
Також цікаво відзначити, що Lazarus може створювати та використовувати зловмисне програмне забезпечення для всіх основних настільних операційних систем: Windows, macOS та Linux. Під час інциденту 3CX об’єктом атаки стали як системи Windows, так і macOS, програмне забезпечення VoIP від 3CX для обох операційних систем було троянизовано, щоб включити шкідливий код для отримання довільних корисних даних. У випадку 3CX існують версії другого етапу зловмисного програмного забезпечення як для Windows, так і для macOS. Ця стаття демонструє існування бекдору Linux, який, ймовірно, відповідає зловмисному ПЗ SIMPLESEA macOS, поміченому в інциденті 3CX. Ми назвали цей компонент Linux SimplexTea та показали, що він є частиною Operation DreamJob, флагманської кампанії Lazarus, яка використовує пропозиції роботи для заманювання та компрометації нічого не підозрюючих жертв.
ESET Research пропонує приватні звіти APT та канали даних. Якщо у вас є запитання щодо цієї послуги, відвідайте ESET Threat Intelligence стр.
IoCs
Файли
SHA-1 | ім'я файлу | Ім’я виявлення ESET | Опис |
---|---|---|---|
0CA1723AFE261CD85B05C9EF424FC50290DCE7DF | guiconfigd | Linux/NukeSped.E | SimplexTea для Linux. |
3A63477A078CE10E53DFB5639E35D74F93CEFA81 | HSBC_job_offer․pdf | Linux/NukeSped.E | OdicLoader, 64-розрядний завантажувач для Linux, написаний на Go. |
9D8BADE2030C93D0A010AA57B90915EB7D99EC82 | HSBC_job_offer.pdf.zip | Linux/NukeSped.E | ZIP-архів із корисним навантаженням Linux від VirusTotal. |
F6760FB1F8B019AF2304EA6410001B63A1809F1D | sysnetd | Linux/NukeSped.G | BADCALL для Linux. |
Вперше побачили | 2023-03-20 12:00:35 |
---|---|
MD5 | CEDB9CDBAD254F60CFB215B9BFF84FB9 |
SHA-1 | 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF |
SHA-256 | EEBB01932DE0B5605DD460CC82844D8693C00EA8AB5FFDF8DBEDE6528C1C18FD |
ім'я файлу | guiconfigd |
Опис | SimplexTea для Linux. |
C&C | https://journalide[.]org/djour.php |
Завантажено від | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
Виявлення | Linux/NukeSped.E |
Мітка часу компіляції PE | N / A |
Вперше побачили | 2023-03-16 07:44:18 |
---|---|
MD5 | 3CF7232E5185109321921046D039CF10 |
SHA-1 | 3A63477A078CE10E53DFB5639E35D74F93CEFA81 |
SHA-256 | 492A643BD1EFDACA4CA125ADE1B606E7BBF00E995AC9115AC84D1C4C59CB66DD |
ім'я файлу | HSBC_job_offer․pdf |
Опис | OdicLoader, 64-розрядний завантажувач для Linux, у Go. |
C&C | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
Завантажено від | N / A |
Виявлення | Linux/NukeSped.E |
Мітка часу компіляції PE | N / A |
Вперше побачили | 2023-03-20 02:23:29 |
---|---|
MD5 | FC41CB8425B6432AF8403959BB59430D |
SHA-1 | 9D8BADE2030C93D0A010AA57B90915EB7D99EC82 |
SHA-256 | F638E5A20114019AD066DD0E856F97FD865798D8FBED1766662D970BEFF652CA |
ім'я файлу | HSBC_job_offer.pdf.zip |
Опис | ZIP-архів із корисним навантаженням Linux від VirusTotal. |
C&C | N / A |
Завантажено від | N / A |
Виявлення | Linux/NukeSped.E |
Мітка часу компіляції PE | N / A |
Вперше побачили | 2023-02-01 23:47:05 |
---|---|
MD5 | AAC5A52B939F3FE792726A13FF7A1747 |
SHA-1 | F6760FB1F8B019AF2304EA6410001B63A1809F1D |
SHA-256 | CC307CFB401D1AE616445E78B610AB72E1C7FB49B298EA003DD26EA80372089A |
ім'я файлу | sysnetd |
Опис | BADCALL для Linux. |
C&C | tcp://23.254.211[.]230 |
Завантажено від | N / A |
Виявлення | Linux/NukeSped.G |
Мітка часу компіляції PE | N / A |
мережу
IP-адреса | Область | Хостинг-провайдер | Вперше побачили | ПОДРОБИЦІ |
---|---|---|---|---|
23.254.211[.]230 | N / A | Hostwinds LLC. | N / A | C&C сервер для BADCALL для Linux |
38.108.185[.]79 38.108.185[.]115 |
od[.]lk | Cogent Communications | 2023-03-16 | Віддалене сховище OpenDrive, що містить SimplexTea (/d/NTJfMzg4MDE1NzJf/vxmedia) |
172.93.201[.]88 | journalide[.]org | Nexeon Technologies, Inc. | 2023-03-29 | C&C сервер для SimplexTea (/djour.php) |
Методи MITER ATT & CK
Тактика | ID | ІМ'Я | Опис |
---|---|---|---|
Розвідка | T1593.001 | Пошук відкритих веб-сайтів/доменів: соціальні мережі | Зловмисники Lazarus, ймовірно, звернулися до цілі з фальшивою пропозицією роботи на тему HSBC, яка відповідала б інтересам цілі. Раніше це робилося переважно через LinkedIn. |
Розвиток ресурсів | T1584.001 | Інфраструктура придбання: домени | На відміну від багатьох попередніх випадків скомпрометованих C&C, які використовувалися в Operation DreamJob, оператори Lazarus зареєстрували власний домен для цілі Linux. |
T1587.001 | Розвивайте можливості: шкідливі програми | Швидше за все, зловмисники створили власні інструменти атаки. | |
T1585.003 | Створення облікових записів: хмарні облікові записи | Фінальний етап зловмисники розмістили на хмарному сервісі OpenDrive. | |
T1608.001 | Можливості етапу: завантаження шкідливих програм | Фінальний етап зловмисники розмістили на хмарному сервісі OpenDrive. | |
Виконання | T1204.002 | Виконання користувача: шкідливий файл | OdicLoader маскується під файл PDF, щоб обдурити ціль. |
Початковий доступ | T1566.002 | Фішинг: посилання на Spearphishing | Ціль, ймовірно, отримала посилання на стороннє віддалене сховище зі шкідливим ZIP-архівом, який пізніше було передано VirusTotal. |
Наполегливість | T1546.004 | Виконання, викликане подією: модифікація конфігурації оболонки Unix | OdicLoader змінює Bash-профіль жертви, тому SimplexTea запускається щоразу, коли Bash відкривається, а його вихід приглушується. |
Ухилення від захисту | T1134.002 | Маніпуляція маркером доступу: створення процесу за допомогою маркера | SimplexTea може створити новий процес за вказівкою свого C&C сервера. |
T1140 | Деобфускація/декодування файлів або інформації | SimplexTea зберігає свою конфігурацію в зашифрованому вигляді apdl.cf. | |
T1027.009 | Обфусковані файли або інформація: вбудовані корисні навантаження | Дропери всіх шкідливих ланцюгів містять вбудований масив даних з додатковим етапом. | |
T1562.003 | Порушити захист: Порушити журнал історії команд | OdicLoader змінює Bash-профіль жертви, тому вихідні повідомлення та повідомлення про помилки від SimplexTea приглушуються. SimplexTea виконує нові процеси за тією ж технікою. | |
T1070.004 | Видалення індикатора: Видалення файлу | SimplexTea має можливість безпечно видаляти файли. | |
T1497.003 | Ухилення від віртуалізації/пісочниці: ухилення від часу | SimplexTea реалізує кілька спеціальних затримок сну під час свого виконання. | |
Відкриття | T1083 | Виявлення файлів і каталогів | SimplexTea може перераховувати вміст каталогу разом із його назвами, розмірами та часовими мітками (імітуючи лс -ла команда) |
Управління та контроль | T1071.001 | Протокол прикладного рівня: веб -протоколи | SimplexTea може використовувати HTTP і HTTPS для зв’язку зі своїм C&C сервером, використовуючи статично пов’язану бібліотеку Curl. |
T1573.001 | Зашифрований канал: Симетрична криптографія | SimplexTea шифрує трафік C&C за допомогою алгоритму AES-GCM. | |
T1132.001 | Кодування даних: Стандартне кодування | SimplexTea кодує трафік C&C за допомогою base64. | |
T1090 | довірена особа | SimplexTea може використовувати проксі для зв'язку. | |
ексфільтраціі | T1041 | Ексфільтрація по каналу С2 | SimplexTea може передавати дані як ZIP-архіви на свій C&C сервер. |
Додаток
Це правило YARA позначає кластер, що містить як IconicLoader, так і IconicStealer, а також корисні навантаження, розгорнуті в кампаніях криптовалюти з грудня 2022 року.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
/* The following rule will only work with YARA version >= 3.11.0 */ import “pe” rule RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023 { meta: description = ” Rich Headers-based rule covering the IconicLoader and IconicStealer from the 3CX supply chain incident, and also payloads from the cryptocurrency campaigns from 2022-12″ author = “ESET Research” date = “2023-03-31” hash = “3B88CDA62CDD918B62EF5AA8C5A73A46F176D18B” hash = “CAD1120D91B812ACAFEF7175F949DD1B09C6C21A” hash = “5B03294B72C0CAA5FB20E7817002C600645EB475” hash = “7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC” condition: pe.rich_signature.toolid(259, 30818) == 9 and pe.rich_signature.toolid(256, 31329) == 1 and pe.rich_signature.toolid(261, 30818) >= 30 and pe.rich_signature.toolid(261, 30818) <= 38 and pe.rich_signature.toolid(261, 29395) >= 134 and pe.rich_signature.toolid(261, 29395) <= 164 and pe.rich_signature.toolid(257, 29395) >= 6 and pe.rich_signature.toolid(257, 29395) <= 14 } |
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- Карбування майбутнього з Адріенн Ешлі. Доступ тут.
- джерело: https://www.welivesecurity.com/2023/04/20/linux-malware-strengthens-links-lazarus-3cx-supply-chain-attack/
- : має
- :є
- : ні
- $UP
- 000
- 000 клієнтів
- 1
- 11
- 20
- 2014
- 2020
- 2021
- 2022
- 2023
- 39
- 7
- 8
- 9
- a
- здатність
- Здатний
- МЕНЮ
- вище
- За
- рахунки
- Рахунки
- діяльність
- актори
- доданий
- Додатковий
- Авіаційно-космічний
- зачіпає
- проти
- алгоритм
- ВСІ
- дозволяє
- пліч-о-пліч
- вже
- Також
- серед
- an
- аналітики
- та
- Інший
- будь-який
- додаток
- здається
- привабливий
- додаток
- застосування
- наближається
- квітня
- APT
- архів
- ЕСТЬ
- Argentina
- масив
- стаття
- статті
- AS
- At
- атака
- нападки
- увагу
- Серпня
- Authentication
- автор
- назад
- закулісний
- бекдори
- підтримка
- поганий
- заснований
- бити
- BE
- ведмеді
- оскільки
- було
- перед тим
- початок
- за
- буття
- Вірити
- нижче
- між
- обидва
- Brazil
- браузер
- by
- C + +
- call
- званий
- Кампанія
- Кампанії
- CAN
- не може
- можливості
- випадок
- випадків
- Викликати
- ланцюг
- ланцюга
- Канал
- характер
- шифр
- CISO
- стверджувати
- клас
- клієнт
- хмара
- Cloud Storage
- кластер
- код
- придуманий
- COM
- загальний
- Комунікація
- зв'язку
- співтовариство
- Компанії
- компанія
- Компанії
- порівняння
- Завершує
- комплекс
- компонент
- компроміс
- Компрометація
- стан
- проводиться
- довіра
- конфігурація
- підтвердити
- підключений
- зв'язку
- контакт
- містити
- містить
- зміст
- сприяти
- відповідає
- підтверджувати
- може
- країна
- покритий
- покриття
- створювати
- створений
- криптовалюта
- Поточний
- В даний час
- виготовлений на замовлення
- Клієнти
- дані
- базами даних
- Дата
- Дати
- Днів
- мертвий
- Грудень
- вирішене
- дефолт
- Захисники
- оборони
- затримки
- постачає
- продемонстрований
- демонструє
- розгорнути
- розгортання
- глибина
- description
- робочий стіл
- деталь
- Виявлення
- Визначати
- певний
- руйнівний
- розвиненою
- Розробник
- DID
- відрізняються
- прямий
- безпосередньо
- розкриття
- відкритий
- відкриття
- дисплеїв
- поширювати
- розподілений
- розповсюдження
- розподіл
- документ
- домен
- домени
- DOT
- скачати
- завантажень
- керований
- Падіння
- краплі
- охрестили
- під час
- кожен
- Рано
- вбудований
- включений
- зашифрованих
- шифрування
- інженер
- Машинобудування
- розваги
- Навколишнє середовище
- помилка
- Дослідження ESET
- встановлений
- Навіть
- Події
- докази
- Виконує
- виконання
- існуючий
- Пояснювати
- пояснені
- розширення
- зовнішній
- витяг
- фактори
- підроблений
- лютого
- Отримано
- кілька
- Рисунок
- філе
- Файли
- остаточний
- Перший
- відповідати
- прапори
- Флагман
- потім
- після
- для
- форма
- формат
- знайдений
- від
- перед
- Повний
- функція
- Грузія
- отримати
- GitHub
- даний
- Go
- Group
- Групи
- гість
- мішанина
- Мати
- he
- Заголовки
- Headlines
- охорона здоров'я
- допомога
- допоміг
- приховувати
- Високий
- Виділено
- історія
- гостинність
- відбувся
- Як
- Однак
- HSBC
- HTML
- HTTP
- HTTPS
- однаковий
- Вплив
- реалізація
- implements
- імпорт
- in
- інцидент
- реагування на інциденти
- включати
- У тому числі
- промисловість
- ганебний
- інформація
- Інфраструктура
- інфраструктура
- спочатку
- Запити
- встановлений
- замість
- Intel
- Інтелект
- інтерес
- цікавий
- Міжнародне покриття
- в
- дослідити
- дослідження
- залучений
- IT
- ЙОГО
- сам
- січня
- робота
- JOE
- липень
- Kaspersky
- ключ
- ключі
- Дитина
- знання
- корейський
- останній
- Минулого року
- Пізно
- запущений
- шар
- Лазар
- Група «Лазар»
- лідер
- Лідери
- рівень
- бібліотека
- Ймовірно
- LINK
- пов'язаний
- зв'язку
- Linux
- список
- LLC
- завантажувач
- погрузка
- вантажі
- Довго
- подивитися
- серія
- машина
- Машинки для перманенту
- MacOS
- made
- основний
- РОБОТИ
- шкідливих програм
- менеджер
- Маніпуляція
- багато
- карта
- березня
- макс-ширина
- Може..
- згаданий
- повідомлення
- Meta
- метадані
- метод
- Microsoft
- може бути
- військовий
- Mobile
- Мобільний додаток
- більше
- найбільш
- множинний
- таємничий
- ім'я
- Названий
- а саме
- Імена
- рідний
- ні
- мережу
- Нові
- наступний
- На північ
- горезвісний
- of
- пропонувати
- Пропозиції
- офіційний
- on
- ONE
- постійний
- тільки
- відкрити
- відкриття
- операційний
- операційні системи
- операція
- Оператори
- or
- порядок
- організації
- оригінал
- Інше
- наші
- вихід
- над
- власний
- P&E
- сторінка
- Папір
- частина
- Минуле
- перспектива
- телефон
- фотографії
- запланований
- Платформи
- plato
- Інформація про дані Платона
- PlatoData
- будь ласка
- переважним
- наявність
- попередній
- раніше
- попередній
- приватний
- ймовірно
- процес
- процеси
- виробляти
- профіль
- проектів
- протокол
- забезпечувати
- за умови
- забезпечує
- забезпечення
- повноваження
- громадськість
- публічно
- опублікований
- видавець
- швидко
- швидше
- зрозумів,
- Короткий огляд
- отримано
- останній
- нещодавно
- зареєстрований
- пов'язаний
- відносини
- віддалений
- видалення
- звітом
- Повідомляється
- Звіти
- представляти
- представлений
- дослідження
- дослідник
- Дослідники
- відповідь
- Показали
- Багаті
- Роль
- Румунія
- Правило
- прогін
- біг
- то ж
- seconds
- розділ
- Сектори
- безпечно
- безпеку
- Серія
- Сервери
- обслуговування
- Послуги
- комплект
- кілька
- загальні
- Склад
- Шоу
- підписаний
- значний
- аналогічний
- схожість
- з
- один
- Розмір
- розміри
- сон
- So
- так далеко
- соціальна
- Соціальна інженерія
- Софтвер
- деякі
- що в сім'ї щось
- Sony
- Південь
- південнокорейський
- конкретний
- Стажування
- етапи
- standard
- почалася
- Штати
- Крок
- зберігання
- зберігати
- магазинів
- потік
- Зміцнювати
- Зміцнює
- сильний
- сильно
- студія
- Матеріали
- представлений
- істотний
- Запропонує
- поставка
- ланцюжка поставок
- символ
- синтаксис
- система
- Systems
- таблиця
- Мета
- цільове
- націлювання
- цілі
- технічний
- методи
- Технології
- ніж
- Що
- Команда
- їх
- Їх
- самі
- Ці
- третя сторона
- це
- загроза
- актори загроз
- три
- через
- час
- Терміни
- чайові
- до
- разом
- знак
- інструмент
- інструменти
- трафік
- лікування
- спрацьовує
- типовий
- книгодрукування
- UNIX
- Оновити
- оновлений
- URL
- us
- використання
- використовуваний
- користувач
- користувачі
- використовувати
- варіант
- різний
- продавець
- версія
- через
- Жертва
- жертви
- Віртуальний
- віртуальна машина
- візит
- VMware
- vs
- Уорд
- було
- шлях..
- we
- Web
- веб-браузер
- веб-сайт
- тижня
- ДОБРЕ
- були
- Що
- Чи
- який
- широкий
- Вікіпедія
- волі
- windows
- з
- Work
- б
- обернути
- письмовий
- рік
- зефірнет
- Zip