Mit der Operation DreamJob griff die APT (Advanced Persistent Threat)-Gruppe Lazarus erstmals auch gezielt Linux-Nutzer an. Prominentestes Opfer ist der VoIP-Software-Entwickler 3CX. Die ESET Experten entdecken Verbindung zum Cyberangriff auf 3CX.
Die Forscher des IT-Sicherheitsherstellers ESET konnten den kompletten Ablauf der Operation rekonstruieren und so nachweisen, dass die mit Nordkorea verbündeten Hacker hinter den sogenannten Supply Chain-Angriffen („Lieferkettenangriff“) stecken. Das Unheil nimmt mit einem gefälschten Jobangebot als Zip-Datei seinen hinterhältigen Lauf und endet mit der Schadsoftware SimplexTea. Die Linux-Backdoor wird über ein OpenDrive-Konto verteilt.
3CX: Es war Lazarus aus Nordkorea
„Nach unseren jüngsten Entdeckungen haben wir weitere stichhaltige Beweise gefunden, dass die Lazarus-Gruppe hinter dem Supply Chain-Angriff auf 3CX steckt. Diese Verbindung wurde von Anfang an vermutet und seitdem von mehreren Sicherheitsforschern nachgewiesen“, sagt ESET Forscher Peter Kálnai. „Diese kompromittierte Software, die in verschiedenen IT-Infrastrukturen eingesetzt wird, ermöglicht das Herunterladen und Ausführen jeglicher Art von Nutzdaten, die verheerende Auswirkungen haben können. Die Heimlichkeit eines Supply Chain-Angriffs macht diese Methode der Malware-Verbreitung aus Sicht der Angreifer sehr attraktiv. Lazarus hat diese Technik bereits in der Vergangenheit eingesetzt“, erklärt Kálnai. „Interessant ist auch, dass Lazarus native Malware für alle wichtigen Desktop-Betriebssysteme produzieren und nutzen kann: Windows, macOS und Linux.“
Start mit verseuchtem Jobangebot per E-Mail
Operation DreamJob ist der Name für eine Reihe von Kampagnen, bei denen Lazarus Social-Engineering-Techniken einsetzt, um seine Ziele zu kompromittieren. Dabei dienen gefälschte Jobangebote als Köder. Am 20. März übermittelte ein Benutzer in Georgien ein ZIP-Archiv mit dem Namen „HSBC job offer.pdf.zip“ an VirusTotal. Angesichts anderer DreamJob-Kampagnen von Lazarus wurde dieses Schadprogramm wahrscheinlich über Spearphishing oder Direktnachrichten auf LinkedIn verbreitet. Das Archiv enthält eine einzige Datei: eine native 64-Bit-Intel-Linux-Binärdatei, die in Go geschrieben wurde und „HSBC job offer․pdf“ heißt.
Die Täter hatten die Angriffe lange vor der Ausführung geplant – bereits im Dezember 2022. Dies lässt darauf schließen, dass sie bereits Ende letzten Jahres im Netzwerk von 3CX Fuß gefasst hatten. Einige Tage vor dem Bekanntwerden des Angriffs wurde ein mysteriöser Linux-Downloader bei VirusTotal eingereicht. Er lädt eine neue Lazarus-Backdoor für Linux namens SimplexTea herunter, die eine Verbindung zu demselben Command & Control-Server herstellt wie die Payloads, die beim 3CX-Angriff verwendet wurden.
Was ist ein Supply-Chain-Angriff
Supply Chain-Angriffe stehen bei Hackern hoch im Kurs. Der Begriff beschreibt Angriffsszenarien, bei denen Cyberkriminelle in den Herstellungsprozess oder Entwicklungszyklus einer Software eingreifen oder ihn übernehmen. So erhalten Endverbraucher eines Produkts unter Umständen manipulierte Updates für die eingesetzte Software.
Über den Angriff auf 3CX
Das Unternehmen bietet Client-Software zur Nutzung seiner Systeme über einen Webbrowser, eine mobile App oder Desktop-Anwendung an. Ende März 2023 wurde entdeckt, dass die Desktop-Anwendung sowohl für Windows als auch für macOS bösartigen Code enthielt. Dieser ermöglichte es Angreifern, beliebigen Code auf alle Rechner herunterzuladen und auszuführen, auf denen die Anwendung installiert war. 3CX selbst wurde kompromittiert und dessen Software in einem Supply Chain-Angriff verwendet, um zusätzliche Malware an bestimmte 3CX-Kunden zu verteilen.
Mehr bei ESET.com
Über ESET ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.