Những điểm tương đồng với phần mềm độc hại Linux mới được phát hiện được sử dụng trong Chiến dịch DreamJob chứng thực giả thuyết rằng nhóm khét tiếng liên kết với Triều Tiên đứng sau cuộc tấn công chuỗi cung ứng 3CX
Các nhà nghiên cứu của ESET đã phát hiện ra một chiến dịch Lazarus Operation DreamJob mới nhắm mục tiêu người dùng Linux. Chiến dịch DreamJob là tên của một loạt chiến dịch trong đó nhóm sử dụng các kỹ thuật kỹ thuật xã hội để thỏa hiệp các mục tiêu của mình, với lời mời làm việc giả làm mồi nhử. Trong trường hợp này, chúng tôi có thể tái tạo lại toàn bộ chuỗi, từ tệp ZIP cung cấp lời mời làm việc giả mạo của HSBC làm mồi nhử, cho đến tải trọng cuối cùng: cửa hậu SimplexTea Linux được phân phối thông qua một OpenDrive tài khoản lưu trữ đám mây. Theo hiểu biết của chúng tôi, đây là lần đầu tiên đề cập công khai về tác nhân đe dọa lớn liên kết với Bắc Triều Tiên này sử dụng phần mềm độc hại Linux như một phần của hoạt động này.
Ngoài ra, phát hiện này đã giúp chúng tôi xác nhận với độ tin cậy cao rằng cuộc tấn công chuỗi cung ứng 3CX gần đây trên thực tế là do Lazarus tiến hành – một liên kết đã bị nghi ngờ ngay từ đầu và đã được một số nhà nghiên cứu bảo mật chứng minh kể từ đó. Trong bài đăng trên blog này, chúng tôi chứng thực những phát hiện này và cung cấp bằng chứng bổ sung về mối liên hệ giữa Lazarus và cuộc tấn công chuỗi cung ứng 3CX.
Cuộc tấn công chuỗi cung ứng 3CX
3CX là nhà phát triển và phân phối phần mềm VoIP quốc tế, cung cấp dịch vụ hệ thống điện thoại cho nhiều tổ chức. Theo trang web của mình, 3CX có hơn 600,000 khách hàng và 12,000,000 người dùng trong các lĩnh vực khác nhau bao gồm hàng không vũ trụ, chăm sóc sức khỏe và khách sạn. Nó cung cấp phần mềm máy khách để sử dụng các hệ thống của mình thông qua trình duyệt web, ứng dụng dành cho thiết bị di động hoặc ứng dụng dành cho máy tính để bàn. Cuối tháng 2023 năm 3, người ta phát hiện ra rằng ứng dụng máy tính để bàn cho cả Windows và macOS chứa mã độc cho phép một nhóm kẻ tấn công tải xuống và chạy mã tùy ý trên tất cả các máy đã cài đặt ứng dụng. Nhanh chóng, người ta xác định rằng mã độc này không phải là thứ mà 3CX tự thêm vào, mà là 3CX đã bị xâm nhập và phần mềm của nó đã được sử dụng trong một cuộc tấn công chuỗi cung ứng do các tác nhân đe dọa bên ngoài thực hiện nhằm phân phối phần mềm độc hại bổ sung cho các khách hàng XNUMXCX cụ thể.
Sự cố mạng này đã trở thành tiêu đề trong những ngày gần đây. Báo cáo ban đầu vào ngày 29 tháng XNUMXth, 2023 trong một Reddit chủ đề của một kỹ sư CrowdStrike, theo sau là một báo cáo chính thức của CrowdStrike, tuyên bố với độ tin cậy cao rằng LABIRINTH CHOLLIMA, mật danh của công ty dành cho Lazarus, đứng sau vụ tấn công (nhưng bỏ qua bất kỳ bằng chứng nào chứng minh cho tuyên bố đó). Do mức độ nghiêm trọng của vụ việc, nhiều công ty bảo mật bắt đầu đóng góp bản tóm tắt của họ về các sự kiện, cụ thể là Sophos, Check Point, Broadcom, Trend Micro, Và nhiều hơn nữa.
Hơn nữa, một phần của cuộc tấn công ảnh hưởng đến các hệ thống chạy macOS đã được trình bày chi tiết trong một Twitter chủ đề và một bài viết trên blog của Patrick Wardle.
Dòng thời gian của sự kiện
Dòng thời gian cho thấy thủ phạm đã lên kế hoạch tấn công từ lâu trước khi thực hiện; sớm nhất là vào tháng 2022 năm 3. Điều này cho thấy họ đã có chỗ đứng trong mạng của XNUMXCX vào cuối năm ngoái.
Mặc dù ứng dụng macOS 3CX bị trojan hóa cho thấy ứng dụng này đã được ký vào cuối tháng 14, nhưng chúng tôi không thấy ứng dụng xấu trong phép đo từ xa của mình cho đến ngày XNUMX tháng XNUMXth, 2023. Không rõ liệu bản cập nhật độc hại cho macOS có được phân phối trước ngày đó hay không.
Mặc dù phép đo từ xa của ESET cho thấy sự tồn tại của tải trọng giai đoạn hai của macOS ngay từ tháng XNUMX, nhưng chúng tôi không có bản thân mẫu cũng như siêu dữ liệu để cảnh báo chúng tôi về tính độc hại của nó. Chúng tôi bao gồm thông tin này để giúp những người bảo vệ xác định các hệ thống có thể đã bị xâm phạm bao xa.
Vài ngày trước khi cuộc tấn công được tiết lộ công khai, một trình tải xuống Linux bí ẩn đã được gửi tới VirusTotal. Nó tải xuống một tải trọng độc hại Lazarus mới cho Linux và chúng tôi sẽ giải thích mối quan hệ của nó với cuộc tấn công ở phần sau trong văn bản.
Quy kết cuộc tấn công chuỗi cung ứng 3CX cho Lazarus
Những gì đã được xuất bản
Có một miền đóng vai trò quan trọng trong lập luận phân bổ của chúng tôi: tạp chí[.]org. Nó được đề cập trong một số báo cáo của nhà cung cấp được liên kết ở trên, nhưng sự hiện diện của nó không bao giờ được giải thích. Thật thú vị, bài viết của lính gác một và Mục tiêuXem không đề cập đến tên miền này. Một blogpost bởi cũng không Tính linh hoạt, thậm chí còn hạn chế cung cấp ghi công, nêu rõ “Volexity hiện không thể ánh xạ hoạt động đã tiết lộ tới bất kỳ tác nhân đe dọa nào”. Các nhà phân tích của nó là một trong những người đầu tiên điều tra chuyên sâu về cuộc tấn công và họ đã tạo ra một công cụ để trích xuất danh sách các máy chủ C&C từ các biểu tượng được mã hóa trên GitHub. Công cụ này rất hữu ích vì những kẻ tấn công không nhúng trực tiếp máy chủ C&C vào các giai đoạn trung gian mà sử dụng GitHub làm trình giải quyết lỗi chết. Các giai đoạn trung gian là trình tải xuống cho Windows và macOS mà chúng tôi biểu thị là IconicLoaders và tải trọng mà chúng nhận được lần lượt là IconicStealer và UpdateAgent.
Vào tháng 3 30th, Joe Desimone, một nhà nghiên cứu bảo mật từ Bảo mật đàn hồi, là một trong những người đầu tiên cung cấp, trong một Twitter luồng, manh mối quan trọng cho thấy các thỏa hiệp do 3CX điều khiển có thể được liên kết với Lazarus. Anh ấy quan sát thấy rằng một sơ khai shellcode được thêm vào trước tải trọng từ d3dcompiler_47.dll tương tự như sơ khai trình tải AppleJeus được gán cho Lazarus bởi CISA trở lại vào tháng Tư 2021.
Vào tháng 3 31st nó đã được được báo cáo rằng 3CX đã giữ lại Mandiant để cung cấp các dịch vụ ứng phó sự cố liên quan đến cuộc tấn công chuỗi cung ứng.
Vào tháng 4 3rd, Kaspersky, thông qua phép đo từ xa, cho thấy mối quan hệ trực tiếp giữa các nạn nhân của chuỗi cung ứng 3CX và việc triển khai một cửa hậu có tên là Gopuram, cả hai đều liên quan đến các tải trọng có tên chung, canh64.dll. Dữ liệu của Kaspersky cho thấy Gopuram được kết nối với Lazarus vì nó cùng tồn tại trên các máy nạn nhân cùng với táoJeus, phần mềm độc hại đã được quy cho Lazarus. Cả Gopuram và AppleJeus đều được quan sát thấy trong các cuộc tấn công chống lại một công ty tiền điện tử.
Sau đó, ngày 11 tháng XNUMXth, CISO của 3CX đã tóm tắt những phát hiện tạm thời của Mandiant trong một báo cáo bài viết trên blog. Theo báo cáo đó, hai mẫu phần mềm độc hại Windows, trình tải shellcode có tên là TAXHAUL và trình tải xuống phức tạp có tên COLDCAT, đã tham gia vào việc xâm phạm 3CX. Không có hàm băm nào được cung cấp, nhưng quy tắc YARA của Mandiant, có tên là TAXHAUL, cũng kích hoạt trên các mẫu khác đã có trên VirusTotal:
- SHA-1: 2ACC6F1D4656978F4D503929B8C804530D7E7CF6 (ualapi.dll),
- SHA-1: DCEF83D8EE080B54DC54759C59F955E73D67AA65 (wlbsctrl.dll)
Tên tệp, nhưng không phải MD5, của các mẫu này trùng với tên từ blogpost của Kaspersky. Tuy nhiên, 3CX tuyên bố rõ ràng rằng COLDCAT khác với Gopuram.
Phần tiếp theo chứa mô tả kỹ thuật về tải trọng Linux độc hại Lazarus mới mà chúng tôi đã phân tích gần đây, cũng như cách nó giúp chúng tôi củng cố liên kết hiện có giữa Lazarus và thỏa hiệp 3CX.
Hoạt động DreamJob với tải trọng Linux
Hoạt động DreamJob của nhóm Lazarus liên quan đến việc tiếp cận các mục tiêu thông qua LinkedIn và cám dỗ họ bằng những lời mời làm việc từ các nhà lãnh đạo trong ngành. Cái tên được ClearSky đặt ra trong một giấy xuất bản vào tháng 2020 năm XNUMX. Bài báo đó mô tả chiến dịch gián điệp mạng của Lazarus nhắm vào các công ty quốc phòng và hàng không vũ trụ. Hoạt động này trùng lặp với cái mà chúng tôi gọi là Operation In(ter)ception, một loạt các cuộc tấn công gián điệp mạng đã và đang diễn ra ít nhất từ Tháng Chín 2019. Nó nhắm mục tiêu vào các công ty hàng không vũ trụ, quân sự và quốc phòng, đồng thời sử dụng các công cụ độc hại cụ thể, ban đầu chỉ dành cho Windows. Trong tháng 2022 và tháng XNUMX năm XNUMX, chúng tôi đã phát hiện thấy hai trường hợp bắt đầu Operation In(ter) nhắm mục tiêu macOS. Một mẫu phần mềm độc hại đã được gửi đến VirusTotal từ Brazil và một cuộc tấn công khác nhắm vào người dùng ESET ở Argentina. Một vài tuần trước, một tải trọng Linux gốc đã được tìm thấy trên VirusTotal cùng với tệp PDF thu hút theo chủ đề HSBC. Điều này hoàn thành khả năng của Lazarus nhắm mục tiêu tất cả các hệ điều hành máy tính để bàn chính.
Vào tháng 3 20th, một người dùng ở quốc gia Georgia đã gửi tới VirusTotal một kho lưu trữ ZIP có tên Thư mời làm việc của HSBC.pdf.zip. Với các chiến dịch DreamJob khác của Lazarus, tải trọng này có thể đã được phân phối thông qua lừa đảo hoặc tin nhắn trực tiếp trên LinkedIn. Kho lưu trữ chứa một tệp duy nhất: tệp nhị phân Intel Linux 64 bit gốc được viết bằng Go và được đặt tên Thư mời làm việc của HSBC․pdf.
Thật thú vị, phần mở rộng tập tin không phải là . Pdf. Điều này là do ký tự dấu chấm rõ ràng trong tên tệp là một lãnh đạo chấm được biểu thị bằng ký tự Unicode U+2024. Việc sử dụng dấu chấm đầu dòng trong tên tệp có thể là một nỗ lực nhằm đánh lừa trình quản lý tệp coi tệp là tệp thực thi thay vì PDF. Điều này có thể khiến tệp chạy khi bấm đúp thay vì mở bằng trình xem PDF. Khi thực hiện, một tệp PDF mồi nhử được hiển thị cho người dùng bằng cách sử dụng xdg-open, sẽ mở tài liệu bằng trình xem PDF ưa thích của người dùng (xem Hình 3). Chúng tôi quyết định gọi trình tải xuống ELF này là OdicLoader, vì nó có vai trò tương tự như IconicLoaders trên các nền tảng khác và tải trọng được tải xuống từ OpenDrive.
OdicLoader thả một tài liệu PDF giả, hiển thị nó bằng trình xem PDF mặc định của hệ thống (xem Hình 2), sau đó tải xuống một cửa hậu giai đoạn hai từ OpenDrive dịch vụ điện toán đám mây. Tệp đã tải xuống được lưu trữ trong ~/.config/guiconfigd (SHA-1: 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF). Chúng tôi gọi đây là cửa hậu giai đoạn hai SimplexTea.
Là bước cuối cùng của quá trình thực thi, OdicLoader sửa đổi ~ / .bash_profile, vì vậy SimplexTea được khởi chạy với Bash và đầu ra của nó bị tắt tiếng (~/.config/guiconfigd >/dev/null 2>&1).
SimplexTea là một cửa hậu Linux được viết bằng C++. Như được đánh dấu trong Bảng 1, tên lớp của nó rất giống với tên hàm được tìm thấy trong mẫu, với tên tệp hệ thống, được gửi tới VirusTotal từ Romania (SHA-1: F6760FB1F8B019AF2304EA6410001B63A1809F1D). Do sự giống nhau về tên lớp và tên hàm giữa SimplexTea và hệ thống, chúng tôi tin rằng SimplexTea là phiên bản cập nhật, được viết lại từ C sang C++.
Bảng 1. So sánh các tên biểu tượng ban đầu từ hai cửa hậu Linux được gửi tới VirusTotal
guiconfigd |
hệ thống |
CMsgCmd::Bắt đầu(khoảng trống) | bột ngọt_Cmd |
CCôBảo mậtCủa::Bắt đầu(khoảng trống) | bột ngọt_Del |
CMsgDir::Bắt đầu(khoảng trống) | bột ngọt_Dir |
Ctin nhắn xuống::Bắt đầu(khoảng trống) | bột ngọt_xuống |
CMsgThoát::Bắt đầu(khoảng trống) | MSG_Thoát |
CMsgReadConfig::Bắt đầu(khoảng trống) | MSG_ReadConfig |
CTin nhắnChạy::Bắt đầu(khoảng trống) | MSG_Run |
CMsgSetPath::Bắt đầu(khoảng trống) | MSG_SetPath |
Ctin nhắn ngủ::Bắt đầu(khoảng trống) | Bột ngọt_Ngủ |
CKiểm tra tin nhắn::Bắt đầu(khoảng trống) | MSG_Test |
Ctin nhắn::Bắt đầu(khoảng trống) | bột ngọt_Up |
CMsgWriteConfig::Bắt đầu(khoảng trống) | MSG_WriteConfig |
MSG_GetComInfo | |
CMsgHibernate::Start(void) | |
CMsgKeepCon::Bắt đầu(void) | |
CMsgZipDown::Bắt đầu(void) | |
CMsgZip::StartZip(void *) | |
CMsgZip::Bắt đầu(void) | |
CHttpWrapper::RecvData(uchar *&,uint *,uint,signed char) | |
RecvMsg | |
CHttpWrapper::GửiMsg(_MSG_STRUCT *) | GửiMsg |
CHttpWrapper::SendData(uchar *,uint,uint) | |
CHttpWrapper::SendMsg(uint,uint,uchar *,uint,uint) | |
CHttpWrapper::SendLoginData(uchar *,uint,uchar *&,uint *) |
Làm thế nào là hệ thống liên quan đến La-xa-rơ? Phần sau đây cho thấy những điểm tương đồng với cửa hậu Windows của Lazarus có tên là BADCALL.
BADCALL cho Linux
chúng tôi thuộc tính hệ thống đến Lazarus vì những điểm tương đồng của nó với hai tệp sau (và chúng tôi tin rằng hệ thống là một biến thể Linux của cửa hậu dành cho Windows của nhóm có tên là BADCALL):
- P2P_DLL.dll (SHA-1: 65122E5129FC74D6B5EBAFCC3376ABAE0145BC14), cho thấy sự tương đồng về mã với hệ thống ở dạng miền được sử dụng làm mặt trước cho kết nối TLS giả mạo (xem Hình 4). Nó được quy cho Lazarus bởi CISA trong 2017 Tháng Mười Hai. Từ Tháng Chín 2019, CISA bắt đầu gọi các phiên bản mới hơn của phần mềm độc hại này là BADCALL (SHA-1: D288766FA268BC2534F85FD06A5D52264E646C47).
- prtspool (SHA-1: 58B0516D28BD7218B1908FB266B8FE7582E22A5F), cho thấy sự tương đồng về mã với hệ thống (xem Hình 5). Nó được gán cho Lazarus bởi CISA vào tháng 2021 năm 3. Cũng xin lưu ý rằng SIMPLESEA, một cửa hậu macOS được tìm thấy trong quá trình ứng phó sự cố XNUMXCX, triển khai A5 / 1 mật mã dòng.
Phiên bản Linux này của cửa hậu BADCALL, hệ thống, tải cấu hình của nó từ một tệp có tên /tmp/vgauthsvlog. Do các nhà khai thác Lazarus trước đây đã ngụy trang các tải trọng của họ, nên việc sử dụng tên này, được sử dụng bởi dịch vụ Xác thực khách của VMware, gợi ý rằng hệ thống được nhắm mục tiêu có thể là một máy ảo Linux VMware. Thật thú vị, khóa XOR trong trường hợp này giống với khóa được sử dụng trong SIMPLESEA từ cuộc điều tra 3CX.
Nhìn vào ba số nguyên 32-bit, 0xC2B45678, 0x90ABCDEFvà 0xFE268455 từ Hình 5, đại diện cho một khóa để triển khai tùy chỉnh mật mã A5/1, chúng tôi nhận thấy rằng cùng một thuật toán và các khóa giống hệt nhau đã được sử dụng trong phần mềm độc hại Windows có từ cuối năm 2014 và có liên quan đến một trong những vụ tấn công nguy hiểm nhất. vụ Lazarus khét tiếng: phá hoại mạng của Sony Pictures Entertainment (SHA-1: 1C66E67A8531E3FF1C64AE57E6EDFDE7BEF2352D).
Điểm dữ liệu phân bổ bổ sung
Để tóm tắt lại những gì chúng tôi đã đề cập cho đến nay, chúng tôi quy kết cuộc tấn công chuỗi cung ứng 3CX cho nhóm Lazarus với mức độ tin cậy cao. Điều này dựa trên các yếu tố sau:
- Phần mềm độc hại (bộ xâm nhập):
- Trình tải biểu tượng (samcli.dll) sử dụng cùng một loại mã hóa mạnh – AES-GCM – như SimplexTea (có sự quy kết cho Lazarus được thiết lập thông qua sự tương đồng với BALLCALL cho Linux); chỉ khác các khóa và vectơ khởi tạo.
- Dựa trên Tiêu đề phong phú PE, cả IconicLoader (samcli.dll) và IconicStealer (sechost.dll) là các dự án có kích thước tương tự và được biên dịch trong cùng môi trường Visual Studio với các tệp thực thi iertutil.dll (SHA-1: 5B03294B72C0CAA5FB20E7817002C600645EB475) Và iertutil.dll (SHA-1: 7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC) được báo cáo trong các chiến dịch tiền điện tử Lazarus bởi Tính linh hoạt và microsoft. Chúng tôi bao gồm bên dưới quy tắc YARA RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023, đánh dấu tất cả các mẫu này và không có tệp sạch hoặc độc hại không liên quan, như đã thử nghiệm trên cơ sở dữ liệu ESET hiện tại và các lần gửi VirusTotal gần đây.
- Tải trọng SimplexTea tải cấu hình của nó theo cách rất giống với phần mềm độc hại SIMPLESEA từ phản hồi sự cố chính thức của 3CX. Khóa XOR khác (0x5E vs. 0x7E), nhưng cấu hình có cùng tên: apdl.cf (xem Hình 8).
- Cơ sở hạ tầng:
- Có cơ sở hạ tầng mạng được chia sẻ với SimplexTea, vì nó sử dụng https://journalide[.]org/djour.php vì nó là C&C, có tên miền được báo cáo trong kết quả chính thức về phản ứng sự cố đối với thỏa hiệp 3CX của Mandiant.
Kết luận
Thỏa hiệp 3CX đã thu hút được rất nhiều sự chú ý từ cộng đồng bảo mật kể từ khi được tiết lộ vào ngày 29 tháng XNUMXth. Phần mềm bị xâm nhập này, được triển khai trên nhiều cơ sở hạ tầng CNTT, cho phép tải xuống và thực thi bất kỳ loại tải trọng nào, có thể gây ra tác động tàn phá. Thật không may, không có nhà xuất bản phần mềm nào miễn nhiễm với việc bị xâm phạm và vô tình phân phối các phiên bản bị nhiễm trojan của ứng dụng của họ.
Tính lén lút của một cuộc tấn công chuỗi cung ứng làm cho phương pháp phân phối phần mềm độc hại này trở nên rất hấp dẫn từ quan điểm của kẻ tấn công. Lazarus đã sử dụng kỹ thuật này trong quá khứ, nhắm mục tiêu đến người dùng Hàn Quốc của phần mềm WIZVERA VeraPort vào năm 2020. Những điểm tương đồng với phần mềm độc hại hiện có từ bộ công cụ Lazarus và với các kỹ thuật điển hình của nhóm cho thấy rõ ràng sự xâm nhập 3CX gần đây cũng là do Lazarus thực hiện.
Một điều thú vị cần lưu ý là Lazarus có thể tạo và sử dụng phần mềm độc hại cho tất cả các hệ điều hành máy tính để bàn chính: Windows, macOS và Linux. Cả hệ thống Windows và macOS đều là mục tiêu trong sự cố 3CX, trong đó phần mềm VoIP của 3CX dành cho cả hai hệ điều hành đều bị trojan hóa để bao gồm mã độc nhằm tìm nạp các tải trọng tùy ý. Trong trường hợp của 3CX, cả phiên bản phần mềm độc hại giai đoạn hai của Windows và macOS đều tồn tại. Bài viết này chứng minh sự tồn tại của một cửa hậu Linux có thể tương ứng với phần mềm độc hại SIMPLESEA macOS đã thấy trong sự cố 3CX. Chúng tôi đặt tên cho thành phần Linux này là SimplexTea và cho thấy rằng nó là một phần của Chiến dịch DreamJob, chiến dịch hàng đầu của Lazarus sử dụng các lời mời làm việc để thu hút và thỏa hiệp những nạn nhân cả tin.
ESET Research cung cấp các báo cáo tình báo APT riêng và nguồn cấp dữ liệu. Mọi thắc mắc về dịch vụ này, hãy truy cập Thông báo về mối đe dọa của ESET .
IoC
Các tập tin
SHA-1 | Tên tập tin | Tên phát hiện ESET | Mô tả |
---|---|---|---|
0CA1723AFE261CD85B05C9EF424FC50290DCE7DF | guiconfigd | Linux/NukeSped.E | SimplexTea cho Linux. |
3A63477A078CE10E53DFB5639E35D74F93CEFA81 | HSBC_job_offer․pdf | Linux/NukeSped.E | OdicLoader, trình tải xuống 64 bit dành cho Linux, được viết bằng Go. |
9D8BADE2030C93D0A010AA57B90915EB7D99EC82 | HSBC_job_offer.pdf.zip | Linux/NukeSped.E | Một kho lưu trữ ZIP có tải trọng Linux, từ VirusTotal. |
F6760FB1F8B019AF2304EA6410001B63A1809F1D | hệ thống | Linux/NukeSped.G | BADCALL cho Linux. |
Lần đầu tiên nhìn thấy | 2023-03-20 12:00:35 |
---|---|
MD5 | CEDB9CDBAD254F60CFB215B9BFF84FB9 |
SHA-1 | 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF |
SHA-256 | EEBB01932DE0B5605DD460CC82844D8693C00EA8AB5FFDF8DBEDE6528C1C18FD |
Tên tập tin | guiconfigd |
Mô tả | SimplexTea cho Linux. |
C&C | https://journalide[.]org/djour.php |
tải về từ | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
Phát hiện | Linux/NukeSped.E |
Dấu thời gian biên dịch PE | N/A |
Lần đầu tiên nhìn thấy | 2023-03-16 07:44:18 |
---|---|
MD5 | 3CF7232E5185109321921046D039CF10 |
SHA-1 | 3A63477A078CE10E53DFB5639E35D74F93CEFA81 |
SHA-256 | 492A643BD1EFDACA4CA125ADE1B606E7BBF00E995AC9115AC84D1C4C59CB66DD |
Tên tập tin | HSBC_job_offer․pdf |
Mô tả | OdicLoader, trình tải xuống 64-bit dành cho Linux, trong Go. |
C&C | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
tải về từ | N/A |
Phát hiện | Linux/NukeSped.E |
Dấu thời gian biên dịch PE | N/A |
Lần đầu tiên nhìn thấy | 2023-03-20 02:23:29 |
---|---|
MD5 | FC41CB8425B6432AF8403959BB59430D |
SHA-1 | 9D8BADE2030C93D0A010AA57B90915EB7D99EC82 |
SHA-256 | F638E5A20114019AD066DD0E856F97FD865798D8FBED1766662D970BEFF652CA |
Tên tập tin | HSBC_job_offer.pdf.zip |
Mô tả | Một kho lưu trữ ZIP có tải trọng Linux, từ VirusTotal. |
C&C | N/A |
tải về từ | N/A |
Phát hiện | Linux/NukeSped.E |
Dấu thời gian biên dịch PE | N/A |
Lần đầu tiên nhìn thấy | 2023-02-01 23:47:05 |
---|---|
MD5 | AAC5A52B939F3FE792726A13FF7A1747 |
SHA-1 | F6760FB1F8B019AF2304EA6410001B63A1809F1D |
SHA-256 | CC307CFB401D1AE616445E78B610AB72E1C7FB49B298EA003DD26EA80372089A |
Tên tập tin | hệ thống |
Mô tả | BADCALL cho Linux. |
C&C | tcp://23.254.211[.]230 |
tải về từ | N/A |
Phát hiện | Linux/NukeSped.G |
Dấu thời gian biên dịch PE | N/A |
mạng
Địa chỉ IP | miền | Nhà cung cấp dịch vụ lưu trữ | Lần đầu tiên nhìn thấy | Chi tiết |
---|---|---|---|---|
23.254.211 [.] 230 | N/A | Hostwinds LLC. | N/A | Máy chủ C&C cho BADCALL cho Linux |
38.108.185 [.] 79 38.108.185 [.] 115 |
od[.]lk | Truyền thông hợp tác | 2023-03-16 | Bộ lưu trữ OpenDrive từ xa có chứa SimplexTea (/d/NTJfMzg4MDE1NzJf/vxmedia) |
172.93.201 [.] 88 | tạp chí[.]org | Công nghệ Nexeon, Inc. | 2023-03-29 | Máy chủ C&C cho SimplexTea (/djour.php) |
Kỹ thuật MITER ATT & CK
Chiến thuật | ID | Họ tên | Mô tả |
---|---|---|---|
Trinh sát | T1593.001 | Tìm kiếm các trang web/miền mở: Truyền thông xã hội | Những kẻ tấn công Lazarus có thể đã tiếp cận mục tiêu bằng một lời mời làm việc giả theo chủ đề HSBC phù hợp với sở thích của mục tiêu. Điều này đã được thực hiện chủ yếu thông qua LinkedIn trong quá khứ. |
Phát triển nguồn lực | T1584.001 | Có được cơ sở hạ tầng: Tên miền | Không giống như nhiều trường hợp C&C bị xâm phạm trước đây được sử dụng trong Chiến dịch DreamJob, những người điều hành Lazarus đã đăng ký miền riêng của họ cho mục tiêu Linux. |
T1587.001 | Phát triển khả năng: Phần mềm độc hại | Các công cụ tùy chỉnh từ cuộc tấn công rất có thể được phát triển bởi những kẻ tấn công. | |
T1585.003 | Thiết lập tài khoản: Tài khoản đám mây | Những kẻ tấn công đã tổ chức giai đoạn cuối cùng trên dịch vụ đám mây OpenDrive. | |
T1608.001 | Giai đoạn Khả năng: Tải lên phần mềm độc hại | Những kẻ tấn công đã tổ chức giai đoạn cuối cùng trên dịch vụ đám mây OpenDrive. | |
Thực hiện | T1204.002 | Thực thi người dùng: Tệp độc hại | OdicLoader giả dạng tệp PDF để đánh lừa mục tiêu. |
Quyền truy cập ban đầu | T1566.002 | Lừa đảo: Liên kết lừa đảo | Mục tiêu có thể đã nhận được một liên kết đến bộ lưu trữ từ xa của bên thứ ba với một kho lưu trữ ZIP độc hại, sau đó được gửi tới VirusTotal. |
Persistence | T1546.004 | Thực thi kích hoạt sự kiện: Sửa đổi cấu hình Unix Shell | OdicLoader sửa đổi hồ sơ Bash của nạn nhân, vì vậy SimplexTea được khởi chạy mỗi khi Bash được nhìn chằm chằm và đầu ra của nó bị tắt tiếng. |
Phòng thủ né tránh | T1134.002 | Thao tác mã thông báo truy cập: Tạo quy trình bằng mã thông báo | SimplexTea có thể tạo một quy trình mới, nếu được hướng dẫn bởi máy chủ C&C của nó. |
T1140 | Giải mã / giải mã tệp hoặc thông tin | SimplexTea lưu trữ cấu hình của nó trong một mã hóa apdl.cf. | |
T1027.009 | Tệp hoặc thông tin bị xáo trộn: Tải trọng được nhúng | Các ống nhỏ giọt của tất cả các chuỗi độc hại chứa một mảng dữ liệu được nhúng với một giai đoạn bổ sung. | |
T1562.003 | Suy giảm khả năng phòng thủ: Suy giảm ghi nhật ký lịch sử lệnh | OdicLoader sửa đổi hồ sơ Bash của nạn nhân, do đó đầu ra và thông báo lỗi từ SimplexTea bị tắt tiếng. SimplexTea thực hiện các quy trình mới với kỹ thuật tương tự. | |
T1070.004 | Loại bỏ chỉ báo: Xóa tệp | SimplexTea có khả năng xóa các tập tin một cách an toàn. | |
T1497.003 | Ảo hóa/trốn tránh Sandbox: Trốn tránh dựa trên thời gian | SimplexTea thực hiện nhiều độ trễ giấc ngủ tùy chỉnh trong quá trình thực thi. | |
khám phá | T1083 | Khám phá tệp và thư mục | SimplexTea có thể liệt kê nội dung thư mục cùng với tên, kích thước và dấu thời gian của chúng (bắt chước ls-la chỉ huy). |
Lệnh và kiểm soát | T1071.001 | Giao thức lớp ứng dụng: Giao thức web | SimplexTea có thể sử dụng HTTP và HTTPS để liên lạc với máy chủ C&C của mình, sử dụng thư viện Curl được liên kết tĩnh. |
T1573.001 | Kênh được mã hóa: Mật mã đối xứng | SimplexTea mã hóa lưu lượng C&C bằng thuật toán AES-GCM. | |
T1132.001 | Mã hóa dữ liệu: Mã hóa tiêu chuẩn | SimplexTea mã hóa lưu lượng C&C bằng base64. | |
T1090 | Proxy | SimplexTea có thể sử dụng proxy để liên lạc. | |
Lọc | T1041 | Lọc qua kênh C2 | SimplexTea có thể lọc dữ liệu dưới dạng tệp nén ZIP sang máy chủ C&C của nó. |
Phụ lục
Quy tắc YARA này gắn cờ cho cụm chứa cả IconicLoader và IconicStealer, cũng như các tải trọng được triển khai trong các chiến dịch tiền điện tử từ tháng 2022 năm XNUMX.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
/* The following rule will only work with YARA version >= 3.11.0 */ import “pe” rule RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023 { meta: description = ” Rich Headers-based rule covering the IconicLoader and IconicStealer from the 3CX supply chain incident, and also payloads from the cryptocurrency campaigns from 2022-12″ author = “ESET Research” date = “2023-03-31” hash = “3B88CDA62CDD918B62EF5AA8C5A73A46F176D18B” hash = “CAD1120D91B812ACAFEF7175F949DD1B09C6C21A” hash = “5B03294B72C0CAA5FB20E7817002C600645EB475” hash = “7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC” condition: pe.rich_signature.toolid(259, 30818) == 9 and pe.rich_signature.toolid(256, 31329) == 1 and pe.rich_signature.toolid(261, 30818) >= 30 and pe.rich_signature.toolid(261, 30818) <= 38 and pe.rich_signature.toolid(261, 29395) >= 134 and pe.rich_signature.toolid(261, 29395) <= 164 and pe.rich_signature.toolid(257, 29395) >= 6 and pe.rich_signature.toolid(257, 29395) <= 14 } |
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. Truy cập Tại đây.
- Đúc kết tương lai với Adryenn Ashley. Truy cập Tại đây.
- nguồn: https://www.welivesecurity.com/2023/04/20/linux-malware-strengthens-links-lazarus-3cx-supply-chain-attack/
- : có
- :là
- :không phải
- $ LÊN
- 000
- 000 khách hàng
- 1
- 11
- 20
- 2014
- 2020
- 2021
- 2022
- 2023
- 39
- 7
- 8
- 9
- a
- có khả năng
- Có khả năng
- Giới thiệu
- ở trên
- Theo
- Tài khoản
- Trợ Lý Giám Đốc
- hoạt động
- diễn viên
- thêm
- thêm vào
- Không gian vũ trụ
- ảnh hưởng đến
- chống lại
- thuật toán
- Tất cả
- cho phép
- bên cạnh
- Đã
- Ngoài ra
- trong số
- an
- Các nhà phân tích
- và
- Một
- bất kì
- ứng dụng
- rõ ràng
- hấp dẫn
- Các Ứng Dụng
- các ứng dụng
- tiếp cận
- Tháng Tư
- APT
- lưu trữ
- LÀ
- Argentina
- Mảng
- bài viết
- bài viết
- AS
- At
- tấn công
- Các cuộc tấn công
- sự chú ý
- Tháng Tám
- Xác thực
- tác giả
- trở lại
- cửa sau
- Backdoors
- ủng hộ
- Bad
- dựa
- bash
- BE
- Bears
- bởi vì
- được
- trước
- Bắt đầu
- sau
- được
- Tin
- phía dưới
- giữa
- cả hai
- Brazil
- trình duyệt
- by
- C + +
- cuộc gọi
- gọi là
- Chiến dịch
- Chiến dịch
- CAN
- không thể
- khả năng
- trường hợp
- trường hợp
- Nguyên nhân
- chuỗi
- chuỗi
- Kênh
- tính cách
- vô giá trị
- CISO
- xin
- tốt nghiệp lớp XNUMX
- khách hàng
- đám mây
- Đám mây lưu trữ
- cụm
- mã
- đặt ra
- COM
- Chung
- Giao tiếp
- Truyền thông
- cộng đồng
- Các công ty
- công ty
- Của công ty
- sự so sánh
- Hoàn thành
- phức tạp
- thành phần
- thỏa hiệp
- Thỏa hiệp
- điều kiện
- thực hiện
- sự tự tin
- Cấu hình
- Xác nhận
- kết nối
- liên quan
- liên lạc
- chứa
- chứa
- nội dung
- Góp phần
- tương ứng
- chứng thực
- có thể
- đất nước
- phủ
- bao gồm
- tạo
- tạo ra
- cryptocurrency
- Current
- Hiện nay
- khách hàng
- khách hàng
- dữ liệu
- cơ sở dữ liệu
- Ngày
- Ngày
- Ngày
- chết
- Tháng mười hai
- quyết định
- Mặc định
- Hậu vệ
- Phòng thủ
- sự chậm trễ
- cung cấp
- chứng minh
- chứng minh
- triển khai
- triển khai
- chiều sâu
- Mô tả
- máy tính để bàn
- chi tiết
- Phát hiện
- Xác định
- xác định
- tàn phá
- phát triển
- Nhà phát triển
- ĐÃ LÀM
- khác nhau
- trực tiếp
- trực tiếp
- công bố thông tin
- phát hiện
- phát hiện
- màn hình
- phân phát
- phân phối
- phân phối
- phân phối
- tài liệu
- miền
- lĩnh vực
- DOT
- tải về
- Tải xuống
- điều khiển
- Rơi
- Giọt
- được mệnh danh là
- suốt trong
- mỗi
- Đầu
- nhúng
- kích hoạt
- mã hóa
- mã hóa
- ky sư
- Kỹ Sư
- Giải trí
- Môi trường
- lôi
- Nghiên cứu ESET
- thành lập
- Ngay cả
- sự kiện
- bằng chứng
- Thi công
- thực hiện
- hiện tại
- Giải thích
- Giải thích
- mở rộng
- ngoài
- trích xuất
- các yếu tố
- giả mạo
- Tháng Hai
- Tìm nạp
- vài
- Hình
- Tập tin
- Các tập tin
- cuối cùng
- Tên
- phù hợp với
- cờ
- Hàng đầu
- sau
- tiếp theo
- Trong
- hình thức
- định dạng
- tìm thấy
- từ
- trước mặt
- Full
- chức năng
- Georgia
- được
- GitHub
- được
- Go
- Nhóm
- Các nhóm
- Khách
- băm
- Có
- he
- tiêu đề
- Tiêu đề
- chăm sóc sức khỏe
- giúp đỡ
- đã giúp
- Ẩn giấu
- Cao
- Nhấn mạnh
- lịch sử
- hiếu khách
- tổ chức
- Độ đáng tin của
- Tuy nhiên
- HSBC
- HTML
- http
- HTTPS
- giống hệt nhau
- Tác động
- thực hiện
- thực hiện
- nhập khẩu
- in
- sự cố
- ứng phó sự cố
- bao gồm
- Bao gồm
- ngành công nghiệp
- ô nhục
- thông tin
- Cơ sở hạ tầng
- cơ sở hạ tầng
- ban đầu
- Yêu cầu
- cài đặt
- thay vì
- Intel
- Sự thông minh
- quan tâm
- thú vị
- Quốc Tế
- trong
- điều tra
- điều tra
- tham gia
- IT
- ITS
- chính nó
- Tháng một
- Việc làm
- JOE
- Tháng Bảy
- Kaspersky
- Key
- phím
- Loại
- kiến thức
- Tiếng Hàn
- Họ
- Năm ngoái
- Trễ, muộn
- phát động
- lớp
- Lazarus
- Tập đoàn Lazarus
- lãnh đạo
- các nhà lãnh đạo
- Cấp
- Thư viện
- Có khả năng
- LINK
- liên kết
- liên kết
- linux
- Danh sách
- LLC
- loader
- tải
- tải
- dài
- Xem
- Rất nhiều
- máy
- Máy móc
- hệ điều hành Mac
- thực hiện
- chính
- LÀM CHO
- phần mềm độc hại
- giám đốc
- Thao tác
- nhiều
- bản đồ
- Tháng Ba
- max-width
- Có thể..
- đề cập
- tin nhắn
- Siêu dữ liệu
- Siêu dữ liệu
- phương pháp
- microsoft
- Might
- Quân đội
- di động
- ứng dụng di động
- chi tiết
- hầu hết
- nhiều
- bí ẩn
- tên
- Được đặt theo tên
- cụ thể là
- tên
- tự nhiên
- Cũng không
- mạng
- Mới
- tiếp theo
- Bắc
- khét tiếng
- of
- cung cấp
- Cung cấp
- chính thức
- on
- ONE
- đang diễn ra
- có thể
- mở
- mở
- hoạt động
- các hệ điều hành
- hoạt động
- khai thác
- or
- gọi món
- tổ chức
- nguyên
- Nền tảng khác
- vfoXNUMXfipXNUMXhfpiXNUMXufhpiXNUMXuf
- đầu ra
- kết thúc
- riêng
- P&E
- trang
- Giấy
- một phần
- qua
- quan điểm
- điện thoại
- Những bức ảnh
- kế hoạch
- Nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- xin vui lòng
- ưa thích
- sự hiện diện
- trước
- trước đây
- Trước khi
- riêng
- có lẽ
- quá trình
- Quy trình
- sản xuất
- Hồ sơ
- dự án
- giao thức
- cho
- cung cấp
- cung cấp
- cung cấp
- Proxy
- công khai
- công khai
- công bố
- nhà xuất bản
- nhanh chóng
- hơn
- nhận ra
- tóm tắt
- nhận
- gần đây
- gần đây
- đăng ký
- liên quan
- mối quan hệ
- xa
- loại bỏ
- báo cáo
- Báo cáo
- Báo cáo
- đại diện
- đại diện
- nghiên cứu
- nhà nghiên cứu
- nhà nghiên cứu
- phản ứng
- Tiết lộ
- Giàu
- Vai trò
- Romania
- Quy tắc
- chạy
- chạy
- tương tự
- giây
- Phần
- Ngành
- an toàn
- an ninh
- Loạt Sách
- Các máy chủ
- dịch vụ
- DỊCH VỤ
- định
- một số
- chia sẻ
- Shell
- Chương trình
- Ký kết
- có ý nghĩa
- tương tự
- tương
- kể từ khi
- duy nhất
- Kích thước máy
- kích thước
- ngủ
- So
- cho đến nay
- Mạng xã hội
- Kỹ thuật xã hội
- Phần mềm
- một số
- một cái gì đó
- Sony
- miền Nam
- Hàn Quốc
- riêng
- Traineeship
- giai đoạn
- Tiêu chuẩn
- bắt đầu
- Bang
- Bước
- là gắn
- lưu trữ
- cửa hàng
- dòng
- Tăng cường
- Tăng cường
- mạnh mẽ
- mạnh mẽ
- phòng thu
- Đệ trình
- trình
- đáng kể
- Gợi ý
- cung cấp
- chuỗi cung ứng
- biểu tượng
- cú pháp
- hệ thống
- hệ thống
- bàn
- Mục tiêu
- nhắm mục tiêu
- nhắm mục tiêu
- mục tiêu
- Kỹ thuật
- kỹ thuật
- Công nghệ
- hơn
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- tự
- Kia là
- của bên thứ ba
- điều này
- mối đe dọa
- diễn viên đe dọa
- số ba
- Thông qua
- thời gian
- timeline
- tip
- đến
- bên nhau
- mã thông báo
- công cụ
- công cụ
- giao thông
- điều trị
- được kích hoạt
- điển hình
- kiểu chữ
- unix
- Cập nhật
- cập nhật
- URL
- us
- sử dụng
- đã sử dụng
- người sử dang
- Người sử dụng
- sử dụng
- biến thể
- khác nhau
- nhà cung cấp
- phiên bản
- thông qua
- nạn nhân
- nạn nhân
- ảo
- máy ảo
- Truy cập
- vmware
- vs
- Phường
- là
- Đường..
- we
- web
- trình duyệt web
- Website
- tuần
- TỐT
- là
- Điều gì
- liệu
- cái nào
- rộng
- Wikipedia
- sẽ
- cửa sổ
- với
- Công việc
- sẽ
- bọc
- viết
- năm
- zephyrnet
- Zip