Μια νέα κακόβουλη επιχείρηση της γνωστής hacking ομάδας Lazarus φαίνεται πως στοχεύει για πρώτη φορά χρήστες Linux με malware. Η νέα επιχείρηση θεωρείται μέρος της “Operation DreamJob“. Αυτή η νέα κατεύθυνση στοχοποίησης ανακαλύφθηκε από τους ερευνητές της ESET, οι οποίοι αναφέρουν επίσης ότι αυτό τους βοηθά να επιβεβαιώσουν με μεγαλύτερη σιγουριά ότι η ομάδα Lazarus πραγματοποίησε την πρόσφατη supply chain επίθεση στην πάροχο VoIP, 3CX.
Η 3CX είναι ένας διεθνής προγραμματιστής και διανομέας λογισμικού VoIP που παρέχει υπηρεσίες τηλεφωνικών συστημάτων σε πολλούς οργανισμούς. Σύμφωνα με την ιστοσελίδα της, η 3CX έχει περισσότερους από 600.000 πελάτες και 12.000.000 χρήστες σε διάφορους τομείς. Στα τέλη Μαρτίου 2023, ανακαλύφθηκε ότι η desktop εφαρμογή τόσο για Windows όσο και για macOS περιείχε κακόβουλο κώδικα που επέτρεπε σε μια ομάδα εισβολέων να κατεβάσουν και να εκτελέσουν κώδικα σε όλα τα μηχανήματα όπου ήταν εγκατεστημένη η εφαρμογή. Γρήγορα, διαπιστώθηκε ότι αυτός ο κακόβουλος κώδικας δεν ήταν κάτι που προσέθεσε η ίδια η 3CX, αλλά η εταιρεία είχε παραβιαστεί και το λογισμικό της χρησιμοποιήθηκε σε επίθεση supply chain για τη διανομή πρόσθετου κακόβουλου λογισμικού σε συγκεκριμένους πελάτες της 3CX.
Δείτε επίσης: Η VMware διορθώνει vRealize bug που επιτρέπει στους εισβολείς να εκτελούν κώδικα ως root
Αρκετοί ειδικοί είχαν ήδη υποψιαστεί ότι οι συγκεκριμένοι hackers βρίσκονταν πίσω από την επίθεση στην 3CX. Πολλές εταιρείες κυβερνοασφάλειας είχαν υποστηρίξει ότι ο δράστης είχε σύνδεση με τη Βόρεια Κορέα (όπως και η ομάδα Lazarus).
Τώρα, η εταιρεία Mandiant δημοσίευσε τα αποτελέσματα της έρευνάς της για την παραβίαση της 3CX και κατέληξε και αυτή σε σύνδεση των επιτιθέμενων με τη Βόρεια Κορέα. Η Mandiant λέει ότι το περιβάλλον προγραμματιστών της 3CX παραβιάστηκε όταν ένας υπάλληλος εγκατέστησε trading software από την Trading Technologies, της οποίας ο installer είχε γίνει trojanized σε μια άλλη supply chain επίθεση.
H Operation DreamJob στοχεύει Linux χρήστες με malware
Η Operation DreamJob της ομάδας Lazarus, επίσης γνωστή ως Nukesped, είναι μια συνεχιζόμενη επιχείρηση που στοχεύει ανθρώπους που εργάζονται σε software ή σε πλατφόρμες DeFi, με ψεύτικες προσφορές εργασίας στο LinkedIn ή σε άλλες κοινωνικές πλατφόρμες ή μέσα επικοινωνίας.
Αυτές οι επιθέσεις προσπαθούν να εξαπατήσουν τα θύματα να κατεβάσουν κακόβουλα αρχεία που παρουσιάζονται ως έγγραφα που περιέχουν λεπτομέρειες για τη θέση που προσφέρεται. Ωστόσο, αυτά τα έγγραφα αποδεικνύονται παραπλανητικά και εγκαθιστούν κακόβουλο λογισμικό στον υπολογιστή του θύματος.
Στην επίθεση που εξέτασε η ESET, οι hackers Lazarus διανέμουν ένα αρχείο ZIP με το όνομα “HSBC job offer.pdf.zip” μέσω spearphishing ή άμεσων μηνυμάτων στο LinkedIn.
Μέσα στο αρχείο κρύβεται ένα Go-written Linux binary που χρησιμοποιεί έναν χαρακτήρα Unicode στο όνομά του για να φαίνεται σαν PDF.
“Είναι ενδιαφέρον ότι η επέκταση αρχείου δεν είναι .pdf. Αυτό συμβαίνει επειδή ο εμφανής dot character στο όνομα αρχείου είναι leader dot που αντιπροσωπεύεται από το U+2024 Unicode character“, εξηγεί η ESET.
Δείτε επίσης: WordPress: Εγκαταλειμμένο πρόσθετο επιτρέπει σε hackers να διεισδύουν σε ιστότοπους
“Η χρήση του leader dot στο όνομα του αρχείου ήταν πιθανώς μια προσπάθεια εξαπάτησης του file manager, ώστε να αντιμετωπίσει το αρχείο ως εκτελέσιμο αντί για PDF“.
“Αυτό θα μπορούσε να προκαλέσει την εκτέλεση του αρχείου κατά το διπλό κλικ αντί για άνοιγμα με πρόγραμμα προβολής PDF“.
Όταν ο παραλήπτης κάνει διπλό κλικ στο αρχείο, το κακόβουλο λογισμικό που είναι γνωστό ως “OdicLoader“, εμφανίζει ένα ψεύτικο PDF, ενώ ταυτόχρονα κατεβάζει ένα malware payload δεύτερου σταδίου από ένα ιδιωτικό repository που φιλοξενείται στην υπηρεσία cloud, OpenDrive.
Το payload δεύτερου σταδίου είναι backdoor C++ που ονομάζεται “SimplexTea“, που καταλήγει στο “~/.config/guiconfigd. SimplexTea.”
Το OdicLoader τροποποιεί επίσης το ~/.bash_profile του χρήστη για να διασφαλίσει ότι το SimplexTea εκκινείται με το Bash και το output του τίθεται σε σίγαση κάθε φορά που ο χρήστης ξεκινά ένα νέο shell session.
Σύνδεση με 3CX
Μετά από ανάλυση του SimplexTea, η ESET κατέληξε στο συμπέρασμα ότι είναι πολύ παρόμοιο στη λειτουργικότητα, τις τεχνικές κρυπτογράφησης και την υποδομή με το Windows malware της Lazarus, “BadCall”, καθώς και με την έκδοση του macOS με το όνομα “SimpleSea”.
Επίσης, η ESET βρήκε μια παλαιότερη παραλλαγή του κακόβουλου λογισμικού SimplexTea στο VirusTotal, με την ονομασία “sysnetd“, η οποία είναι επίσης παρόμοια με τα αναφερόμενα backdoors αλλά γραμμένη σε C.
Η προηγούμενη εκδοχή φορτώνει τη διαμόρφωσή της από ένα αρχείο με όνομα /tmp/vgauthsvclog, το οποίο χρησιμοποιείται από την υπηρεσία VMware Guest Authentication. Αυτό υποδηλώνει ότι το σύστημα που επιτίθεται μπορεί να είναι ένα Linux VMware virtual machine.
Δείτε επίσης: Transparent Tribe: Χρησιμοποιεί το Linux malware Poseidon για να στοχεύσει την Ινδία
Οι αναλυτές της ESET διαπίστωσαν επίσης ότι το sysnetd backdoor χρησιμοποιεί ένα κλειδί XOR που είχε αποκαλυφθεί προηγουμένως κατά την έρευνα για την παραβίαση της 3CX.
“Ρίχνοντας μια ματιά στους τρεις 32-bit integers, 0xC2B45678, 0x90ABCDEF και 0xFE268455 από το Figure 5, που αντιπροσωπεύουν ένα κλειδί για ένα custom implementation of the A5/1 cipher, συνειδητοποιήσαμε ότι χρησιμοποιήθηκε ο ίδιος αλγόριθμος και τα ίδια κλειδιά σε Windows malware που χρονολογείται από τα τέλη του 2014 και ενεπλάκη σε μια από τις πιο διαβόητες υποθέσεις της Lazarus: το κυβερνο-σαμποτάζ της Sony Pictures Entertainment“, εξήγησε η ESET.
Το κλειδί XOR μεταξύ των SimplexTea και SimpleSea payloads διαφέρει. Ωστόσο, το αρχείο διαμόρφωσης χρησιμοποιεί το ίδιο όνομα, “apdl.cf.”
Η στροφή των Lazarus hackers στο Linux malware και η επίθεση στην 3CX δείχνει τις διαρκώς εξελισσόμενες τακτικές τους. Παρόμοιες επιθέσεις στο Lazarus Operation DreamJob οδήγησαν σε τεράστια επιτυχία, επιτρέποντας στους hackers να κλέψουν εκατομμύρια δολάρια. Η ομάδα Lazarus αποτελεί σημαντική απειλή. Οι συγκεκριμένοι hackers έχουν υψηλή εξειδίκευση και έχουν σημαντικούς πόρους αφού υποστηρίζονται από κυβέρνηση.
Πηγή: www.bleepingcomputer.com