Con Operation DreamJob, el grupo APT (Advanced Persistent Threat) Lazarus atacó a los usuarios de Linux por primera vez. La víctima más destacada es el desarrollador de software VoIP 3CX. Expertos de ESET descubren conexión con ataque cibernético en 3CX.
Los investigadores del fabricante de seguridad informática ESET pudieron reconstruir todo el curso de la operación y demostrar así que los piratas informáticos aliados con Corea del Norte estaban detrás de los llamados ataques a la cadena de suministro ("supply chain attack"). La travesura toma su curso insidioso con una oferta de trabajo falsa en un archivo zip y termina con el malware SimplexTea. La puerta trasera de Linux se distribuye a través de una cuenta de OpenDrive.
3CX: Era Lazarus de Corea del Norte
“Después de nuestros descubrimientos recientes, hemos encontrado más evidencia que corrobora que el Grupo Lazarus estuvo detrás del ataque a la cadena de suministro en 3CX. Esta conexión se sospechó desde el principio y desde entonces ha sido probada por varios investigadores de seguridad”, dice Peter Kálnai, investigador de ESET. “Este software comprometido, implementado en varias infraestructuras de TI, permite la descarga y ejecución de cualquier tipo de carga útil que pueda causar estragos. La naturaleza sigilosa de un ataque a la cadena de suministro hace que este método de distribución de malware sea muy atractivo desde la perspectiva del atacante. Lazarus ha utilizado esta técnica en el pasado”, explica Kálnai. "También es interesante que Lazarus pueda producir y consumir malware nativo para todos los principales sistemas operativos de escritorio: Windows, macOS y Linux".
Comience con una oferta de trabajo infectada por correo electrónico
Operation DreamJob es el nombre que recibe una serie de campañas en las que Lazarus utiliza técnicas de ingeniería social para comprometer a sus objetivos. Las ofertas de trabajo falsas sirven como cebo. El 20 de marzo, un usuario de Georgia envió un archivo ZIP a VirusTotal llamado "oferta de trabajo de HSBC.pdf.zip". Dadas otras campañas de Lazarus DreamJob, este malware probablemente se distribuyó a través de spear phishing o mensajes directos en LinkedIn. El archivo contiene un solo archivo: un binario Intel Linux nativo de 64 bits escrito en Go y denominado "Oferta de trabajo de HSBC․pdf".
Los perpetradores habían planeado los ataques con mucha anticipación, ya en diciembre de 2022. Esto sugiere que ya se habían afianzado en la red de 3CX a fines del año pasado. Unos días antes de que se conociera el ataque, se envió un misterioso descargador de Linux a VirusTotal. Descarga una nueva puerta trasera de Lazarus para Linux llamada SimplexTea, que se conecta al mismo servidor de Comando y Control que las cargas utilizadas en el ataque 3CX.
¿Qué es un ataque a la cadena de suministro?
Los ataques a la cadena de suministro son muy populares entre los piratas informáticos. El término describe escenarios de ataque en los que los ciberdelincuentes intervienen o se hacen cargo del proceso de fabricación o el ciclo de desarrollo del software. Los usuarios finales de un producto pueden recibir actualizaciones manipuladas del software utilizado.
Sobre el ataque a 3CX
La empresa ofrece software de cliente para usar sus sistemas a través de un navegador web, una aplicación móvil o una aplicación de escritorio. A fines de marzo de 2023, se descubrió que la aplicación de escritorio para Windows y macOS contenía código malicioso. Esto permitió a los atacantes descargar y ejecutar código arbitrario en cualquier máquina en la que se instaló la aplicación. 3CX mismo fue comprometido y su software fue utilizado en un ataque a la cadena de suministro para distribuir malware adicional a ciertos clientes de 3CX.
Más en ESET.com
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.