ऑपरेशन ड्रीमजॉब के साथ, एपीटी (एडवांस परसिस्टेंट थ्रेट) समूह लाजर ने पहली बार लिनक्स उपयोगकर्ताओं पर हमला किया। सबसे प्रमुख शिकार वीओआईपी सॉफ्टवेयर डेवलपर 3CX है। ESET विशेषज्ञ 3CX पर साइबर हमले के संबंध की खोज करते हैं।
आईटी सुरक्षा निर्माता ईएसईटी के शोधकर्ता ऑपरेशन के पूरे पाठ्यक्रम का पुनर्निर्माण करने में सक्षम थे और इस प्रकार साबित करते हैं कि उत्तरी कोरिया के साथ जुड़े हैकर तथाकथित आपूर्ति श्रृंखला हमलों ("आपूर्ति श्रृंखला हमले") के पीछे थे। जिप फाइल के रूप में एक फर्जी नौकरी की पेशकश के साथ शरारत अपना कपटपूर्ण रास्ता अपनाती है और सिम्पलेक्सटी मालवेयर के साथ समाप्त होती है। Linux बैकडोर एक OpenDrive खाते के माध्यम से वितरित किया जाता है।
3CX: यह उत्तर कोरिया का लाजर था
"हमारी हाल की खोजों के बाद, हमें और अधिक पुष्टिकारक सबूत मिले हैं कि लाजर समूह 3CX पर आपूर्ति श्रृंखला हमले के पीछे था। इस संबंध पर शुरू से ही संदेह था और तब से कई सुरक्षा शोधकर्ताओं ने इसे साबित कर दिया है," ESET के शोधकर्ता पीटर कालनाई कहते हैं। "यह समझौता किया गया सॉफ़्टवेयर, विभिन्न आईटी अवसंरचनाओं में तैनात किया गया है, जो किसी भी प्रकार के पेलोड को डाउनलोड करने और निष्पादित करने की अनुमति देता है जो कहर बरपा सकता है। आपूर्ति श्रृंखला हमले की चुपके प्रकृति हमलावर के दृष्टिकोण से मैलवेयर वितरण की इस पद्धति को बहुत आकर्षक बनाती है। लाजर ने अतीत में इस तकनीक का इस्तेमाल किया है," कालनाई बताते हैं। "यह भी दिलचस्प है कि लाजर सभी प्रमुख डेस्कटॉप ऑपरेटिंग सिस्टम: विंडोज, मैकओएस और लिनक्स के लिए मूल मैलवेयर का उत्पादन और उपभोग कर सकता है।"
ईमेल के माध्यम से संक्रमित नौकरी की पेशकश के साथ प्रारंभ करें
ऑपरेशन ड्रीमजॉब अभियानों की एक श्रृंखला को दिया गया नाम है जिसमें लाजर अपने लक्ष्यों से समझौता करने के लिए सामाजिक इंजीनियरिंग तकनीकों का उपयोग करता है। नौकरी के नकली ऑफर चारे का काम करते हैं। 20 मार्च को, जॉर्जिया में एक उपयोगकर्ता ने "HSBC जॉब ऑफर.pdf.zip" नामक VirusTotal को एक ज़िप संग्रह सबमिट किया। अन्य Lazarus DreamJob अभियानों को देखते हुए, यह मैलवेयर संभवतः स्पीयर फ़िशिंग या लिंक्डइन पर प्रत्यक्ष संदेशों के माध्यम से वितरित किया गया था। संग्रह में केवल एक फ़ाइल है: एक देशी 64-बिट इंटेल लिनक्स बाइनरी जिसे गो में लिखा गया है और जिसका नाम "एचएसबीसी जॉब ऑफर․पीडीएफ" है।
अपराधियों ने पहले ही हमलों की योजना बना ली थी - दिसंबर 2022 की शुरुआत में। इससे पता चलता है कि उन्होंने पिछले साल के अंत में 3CX के नेटवर्क पर पैर जमा लिए थे। हमले के ज्ञात होने के कुछ दिन पहले, एक रहस्यमय लिनक्स डाउनलोडर को VirusTotal को सबमिट किया गया था। यह सिम्पलेक्सटी नामक लिनक्स के लिए एक नया लाजर पिछले दरवाजे को डाउनलोड करता है, जो उसी कमांड एंड कंट्रोल सर्वर से जुड़ता है, जो 3CX हमले में उपयोग किए गए पेलोड के रूप में होता है।
आपूर्ति श्रृंखला हमला क्या है
आपूर्ति श्रृंखला हमले हैकर्स के बीच बहुत लोकप्रिय हैं। यह शब्द हमले के परिदृश्यों का वर्णन करता है जिसमें साइबर अपराधी सॉफ्टवेयर की निर्माण प्रक्रिया या विकास चक्र में हस्तक्षेप करते हैं या उसे अपने कब्जे में ले लेते हैं। किसी उत्पाद के अंतिम उपयोगकर्ता उपयोग किए गए सॉफ़्टवेयर के लिए हेरफेर किए गए अपडेट प्राप्त कर सकते हैं।
3CX पर हमले के बारे में
कंपनी वेब ब्राउज़र, मोबाइल ऐप या डेस्कटॉप एप्लिकेशन के माध्यम से अपने सिस्टम का उपयोग करने के लिए क्लाइंट सॉफ़्टवेयर प्रदान करती है। मार्च 2023 के अंत में, विंडोज और मैकओएस दोनों के लिए डेस्कटॉप एप्लिकेशन में दुर्भावनापूर्ण कोड होने का पता चला था। इसने हमलावरों को किसी भी मशीन पर मनमाना कोड डाउनलोड करने और चलाने की अनुमति दी, जिस पर एप्लिकेशन इंस्टॉल किया गया था। 3CX खुद से समझौता किया गया था और इसके सॉफ़्टवेयर का उपयोग कुछ 3CX ग्राहकों को अतिरिक्त मैलवेयर वितरित करने के लिए आपूर्ति श्रृंखला हमले में किया गया था।
ESET.com पर अधिक
ईएसईटी के बारे में ESET एक यूरोपीय कंपनी है जिसका मुख्यालय ब्रातिस्लावा (स्लोवाकिया) में है। 1987 से, ईएसईटी पुरस्कार विजेता सुरक्षा सॉफ्टवेयर विकसित कर रहा है जिसने पहले ही 100 मिलियन से अधिक उपयोगकर्ताओं को सुरक्षित तकनीकों का आनंद लेने में मदद की है। सुरक्षा उत्पादों के व्यापक पोर्टफोलियो में सभी प्रमुख प्लेटफॉर्म शामिल हैं और दुनिया भर में व्यवसायों और उपभोक्ताओं को प्रदर्शन और सक्रिय सुरक्षा के बीच सही संतुलन प्रदान करता है। जेना, सैन डिएगो, सिंगापुर और ब्यूनस आयर्स में 180 से अधिक देशों और कार्यालयों में कंपनी का वैश्विक बिक्री नेटवर्क है। अधिक जानकारी के लिए www.eset.de पर जाएं या हमें LinkedIn, Facebook और Twitter पर फ़ॉलो करें।