APT-Gruppe Lazarus steckt hinter Cyberangriff auf 3CX

Lazarus APT zielt mit Backdoor CookiePlus auf nukleare Organisationen

Beitrag teilen

Mit der Operation DreamJob griff die APT (Advanced Persistent Threat)-Gruppe Lazarus erstmals auch gezielt Linux-Nutzer an. Prominentestes Opfer ist der VoIP-Software-Entwickler 3CX. Die ESET Experten entdecken Verbindung zum Cyberangriff auf 3CX.

Die Forscher des IT-Sicherheitsherstellers ESET konnten den kompletten Ablauf der Operation rekonstruieren und so nachweisen, dass die mit Nordkorea verbündeten Hacker hinter den sogenannten Supply Chain-Angriffen („Lieferkettenangriff“) stecken. Das Unheil nimmt mit einem gefälschten Jobangebot als Zip-Datei seinen hinterhältigen Lauf und endet mit der Schadsoftware SimplexTea. Die Linux-Backdoor wird über ein OpenDrive-Konto verteilt.

Anzeige

3CX: Es war Lazarus aus Nordkorea

„Nach unseren jüngsten Entdeckungen haben wir weitere stichhaltige Beweise gefunden, dass die Lazarus-Gruppe hinter dem Supply Chain-Angriff auf 3CX steckt. Diese Verbindung wurde von Anfang an vermutet und seitdem von mehreren Sicherheitsforschern nachgewiesen“, sagt ESET Forscher Peter Kálnai. „Diese kompromittierte Software, die in verschiedenen IT-Infrastrukturen eingesetzt wird, ermöglicht das Herunterladen und Ausführen jeglicher Art von Nutzdaten, die verheerende Auswirkungen haben können. Die Heimlichkeit eines Supply Chain-Angriffs macht diese Methode der Malware-Verbreitung aus Sicht der Angreifer sehr attraktiv. Lazarus hat diese Technik bereits in der Vergangenheit eingesetzt“, erklärt Kálnai. „Interessant ist auch, dass Lazarus native Malware für alle wichtigen Desktop-Betriebssysteme produzieren und nutzen kann: Windows, macOS und Linux.“

Start mit verseuchtem Jobangebot per E-Mail

Operation DreamJob ist der Name für eine Reihe von Kampagnen, bei denen Lazarus Social-Engineering-Techniken einsetzt, um seine Ziele zu kompromittieren. Dabei dienen gefälschte Jobangebote als Köder. Am 20. März übermittelte ein Benutzer in Georgien ein ZIP-Archiv mit dem Namen „HSBC job offer.pdf.zip“ an VirusTotal. Angesichts anderer DreamJob-Kampagnen von Lazarus wurde dieses Schadprogramm wahrscheinlich über Spearphishing oder Direktnachrichten auf LinkedIn verbreitet. Das Archiv enthält eine einzige Datei: eine native 64-Bit-Intel-Linux-Binärdatei, die in Go geschrieben wurde und „HSBC job offer․pdf“ heißt.

Die Täter hatten die Angriffe lange vor der Ausführung geplant – bereits im Dezember 2022. Dies lässt darauf schließen, dass sie bereits Ende letzten Jahres im Netzwerk von 3CX Fuß gefasst hatten. Einige Tage vor dem Bekanntwerden des Angriffs wurde ein mysteriöser Linux-Downloader bei VirusTotal eingereicht. Er lädt eine neue Lazarus-Backdoor für Linux namens SimplexTea herunter, die eine Verbindung zu demselben Command & Control-Server herstellt wie die Payloads, die beim 3CX-Angriff verwendet wurden.

Was ist ein Supply-Chain-Angriff

Supply Chain-Angriffe stehen bei Hackern hoch im Kurs. Der Begriff beschreibt Angriffsszenarien, bei denen Cyberkriminelle in den Herstellungsprozess oder Entwicklungszyklus einer Software eingreifen oder ihn übernehmen. So erhalten Endverbraucher eines Produkts unter Umständen manipulierte Updates für die eingesetzte Software.

Über den Angriff auf 3CX

Das Unternehmen bietet Client-Software zur Nutzung seiner Systeme über einen Webbrowser, eine mobile App oder Desktop-Anwendung an. Ende März 2023 wurde entdeckt, dass die Desktop-Anwendung sowohl für Windows als auch für macOS bösartigen Code enthielt. Dieser ermöglichte es Angreifern, beliebigen Code auf alle Rechner herunterzuladen und auszuführen, auf denen die Anwendung installiert war. 3CX selbst wurde kompromittiert und dessen Software in einem Supply Chain-Angriff verwendet, um zusätzliche Malware an bestimmte 3CX-Kunden zu verteilen.

Mehr bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

IT-Security: Innovationsdruck und Fachkräftemangel

Wie wirken sich Innovationsdruck und Fachkräftemangel auf die IT-Security aus? Neue junge Mitarbeiter stoßen in der IT-Security oft auf alteingesessene ➡ Weiterlesen

Multicloud: Datenschutz wird immer wichtiger

Acht von zehn Unternehmen nutzen bereits Multicloud-Umgebungen oder planen es zu nutzen, so eine aktuelle Umfrage. Allerdings bringt die Komplexität ➡ Weiterlesen

Software-Tester: Fake-Jobangebote mit Malware aus Nordkorea

Über eine aktive Kampagne mit gefälschten Jobangeboten auf LinkedIn greifen Hacker Bewerber an: Im Rahmen des Bewerbungsverfahrens erhalten die Angreifer ➡ Weiterlesen

Application-Security: Deutschland ist Vorreiter

Der neueste ASPM Report zeigt, dass deutsche Unternehmen aktiver an der Verbesserung ihrer Application-Security arbeiten. Fast 70 Prozent von ihnen ➡ Weiterlesen

Cyberangriffe: Diese Schwachstellen sind Hauptziele

Durch die Analyse von vielen, weltweiten Cybervorfällen war es möglich die drei größten Schwachstellen zu identifizieren: Dazu gehören ineffizientes Schwachstellenmanagement, ➡ Weiterlesen

KI-Dienste: Überwachen und Schwachstellen erkennen

65 Prozent der Unternehmen nutzen generative KI in einer oder mehreren Funktionen. KI-Dienste bieten viele Vorteile, aber gleichzeitig auch viele ➡ Weiterlesen

Handlungsbedarf in Sachen DORA

Warum Finanzinstitute hinsichtlich DORA jetzt handeln müssen, um die operative Widerstandsfähigkeit zu sichern. Mit dem endgültigen Inkrafttreten des Digital Operational ➡ Weiterlesen

E-Mail-Sicherheit: 5 Tipps zur Anpassung an NIS2

E-Mail-Sicherheit nimmt eine zentrale Rolle für die Cybersicherheit des ganzen Unternehmens ein. Denn E-Mail ist nicht nur der wichtigste Kommunikationskanal ➡ Weiterlesen