"DreamJob Operasyonu" nun bir parçası olarak kabul edilen yeni bir Lazarus kampanyası, ilk kez kötü amaçlı yazılımları olan Linux kullanıcılarını hedefleyen keşfedildi.
Bu yeni hedefleme, Lazarus'un VoIP sağlayıcısı 3CX'e son tedarik zinciri saldırısını gerçekleştirdiğine dair yüksek bir güvenle onaylamaya yardımcı olduğunu söyleyen ESET'in araştırmacıları tarafından keşfedildi.
Saldırı, Mart 2023'te keşfedildi ve 3CX istemcisinin truva atış versiyonunu bilgi çalma truva atları ile kullanan birden fazla şirketten ödün verdi.
Lazarus'un saldırıdan sorumlu olduğundan şüpheleniliyor, birden fazla siber güvenlik şirketi ise 3CX'i truva atan tehdit aktörünün Kuzey Kore Nexus'a sahip olduğuna dair yüksek bir güvenle anlaştı.
Bugün Maniant, saldırıyı Kuzey Kore tehdit aktörlerine bağlayarak 3CX ihlali ile ilgili soruşturmalarının sonuçlarını yayınladı.
Mantiant, 3CX'in geliştirici ortamının, bir çalışanın, kurulumu başka bir Kuzey Koreli tedarik zinciri saldırısında truva atanan ticaret teknolojilerinden ticaret yazılımı kurduktan sonra tehlikeye atıldığını söyledi.
Lazarus'un Nukesped olarak da bilinen DreamJob Operasyonu, LinkedIn veya diğer sosyal medya ve iletişim platformlarında sahte iş teklifleri olan yazılım veya DIFI platformlarında çalışan kişileri hedef alan devam eden bir operasyondur.
Bu sosyal mühendislik saldırıları, kurbanları, sunulan pozisyonla ilgili ayrıntılar içeren belgeler olarak maskelenen kötü amaçlı dosyaları indirmeye çalışır. Ancak, bu belgeler bunun yerine kurbanın bilgisayarına kötü amaçlı yazılım bırakır.
ESET tarafından keşfedilen durumda Lazarus, LinkedIn'deki spearphishing veya doğrudan mesajlar aracılığıyla "HSBC Job Teklif.pdf.zip" adlı bir zip arşivi dağıtır.
Arşivin içinde, bir PDF gibi görünmesi için adına bir Unicode karakter kullanan bir go yazılmış Linux ikili gizlenir.
ESET, "İlginç bir şekilde, dosya uzantısı .pdf değil. Bunun nedeni, dosya adındaki görünen nokta karakterinin U+2024 Unicode karakteri tarafından temsil edilen lider bir nokta olmasıdır."
"Dosya adında Lider Dot'un kullanımı muhtemelen dosya yöneticisini dosyayı PDF yerine yürütülebilir olarak ele almaya kandırmaya yönelik bir girişimdi."
"Bu, bir PDF görüntüleyici ile açmak yerine çift tıkladığında dosyanın çalışmasına neden olabilir."
Alıcı, başlatmak için dosyaya çift tıkladığında, "ODICLoader" olarak bilinen kötü amaçlı yazılım, aynı anda OpenDrive Cloud hizmetinde barındırılan özel bir depodan ikinci aşamalı bir kötü amaçlı yazılım yükü indirirken bir tuzak PDF görüntüler.
İkinci aşama yükü, "~/.config/guiconfigd. Simplextea" da bırakılan "Simplextea" adlı bir C ++ arka kapısıdır.
ODICLoader ayrıca, BASH ile SimpleXTEA'nın başlatıldığından ve kullanıcı yeni bir kabuk oturumu başlattığında çıktısının sessizleştirilmesini sağlamak için kullanıcının ~/.bash_profile'ı değiştirir.
Simplextea'nın analizi üzerine ESET, işlevsellik, şifreleme teknikleri ve Lazarus'un "BadCall" adlı Windows kötü amaçlı yazılımlarının yanı sıra "Simplesea" adlı macOS varyantı ile kullanılan sabit kodlu altyapı bakımından çok benzer olduğunu belirledi.
Ayrıca, ESET, Virustotal'da "Sysnetd" adlı Simplextea kötü amaçlı yazılımının daha önceki bir varyantını buldu.
Daha önceki varyant, yapılandırmasını VMware Guest kimlik doğrulama hizmeti tarafından kullanılan /TMP /VGAUTHSVCLog adlı bir dosyadan yükler. Bu, hedeflenen sistemin bir Linux VMware sanal makine olabileceğini düşündürmektedir.
ESET analistleri ayrıca Sysnetd Backdoor'un Simplesea kötü amaçlı yazılımları tarafından kullanılacak 3CX soruşturması tarafından daha önce ortaya çıkarılan bir XOR anahtarı kullandığını buldu.
"A5/1 Cipher'in özel bir uygulaması için bir anahtarı temsil eden üç 32 bit tamsayıya, 0xc2b45678, 0xc2b45678, 0x90abcdef ve 0xfe268455'e bir göz atarak, aynı algoritma ve özdeş anahtarların kullanıldığını fark ettik. 2014 yılı sonuna kadar uzanan ve en kötü şöhretli Lazarus vakalarından birinde yer alan Windows kötü amaçlı yazılım: Sony Pictures Entertainment'ın Siber Ölçerliği, "diye açıkladı ESET.
SimpleXTEA ve Simplesea yükleri arasındaki XOR tuşu farklıdır; Ancak, yapılandırma dosyası aynı adı kullanır, "apdl.cf."
Lazarus'un Linux kötü amaçlı yazılımlara geçişi ve 3CX saldırısı, şimdi Windows ve MacOS dahil olmak üzere tüm önemli işletim sistemlerini destekleyen sürekli gelişen taktiklerini göstermektedir.
Benzer Lazarus Operasyonu DreamJob saldırıları, tehdit aktörleri için muazzam bir başarıya yol açtı ve Axie Infinity'den 620 milyon dolar çalmalarına izin verdi.
FBI ayrıca Lazarus'un Harmony Köprüsü'nden 100 milyon dolarlık kripto para hırsızlığının arkasında olduğunu doğruladı.
Lazarus'un 3CX'teki son tedarik zinciri saldırısı, kötü şöhretli siber çete için bir başka yüksek profilli başarıyı işaret ediyor.
3CX, tedarik zinciri saldırısının arkasındaki Kuzey Koreli bilgisayar korsanlarını onayladı
Bilgisayar korsanları bir tedarik zinciri saldırısında 3CX masaüstü uygulamasını tehlikeye atıyor
Kritik altyapı, 3CX ihlalinin arkasındaki tedarik zinciri saldırısından da etkileniyor
Ticaret yazılımı tedarik zinciri saldırısından kaynaklanan 3CX hack
Bu Satış On Eğitim Paketi Anlaşması ile Linux Becerilerinizi Hone
Kaynak: Bleeping Computer