Con Operation DreamJob, il gruppo APT (Advanced Persistent Threat) Lazarus ha attaccato per la prima volta gli utenti Linux. La vittima più importante è lo sviluppatore di software VoIP 3CX. Gli esperti ESET scoprono la connessione all'attacco informatico su 3CX.
I ricercatori del produttore di sicurezza informatica ESET sono stati in grado di ricostruire l'intero corso dell'operazione e dimostrare così che gli hacker alleati della Corea del Nord erano dietro i cosiddetti attacchi alla catena di approvvigionamento ("attacco alla catena di approvvigionamento"). La malizia prende il suo corso insidioso con una falsa offerta di lavoro come file zip e finisce con il malware SimplexTea. La backdoor di Linux è distribuita tramite un account OpenDrive.
3CX: Era Lazarus dalla Corea del Nord
“A seguito delle nostre recenti scoperte, abbiamo trovato ulteriori prove a sostegno del fatto che il gruppo Lazarus fosse dietro l'attacco alla catena di approvvigionamento su 3CX. Questa connessione era sospettata fin dall'inizio e da allora è stata dimostrata da diversi ricercatori di sicurezza ", afferma Peter Kálnai, ricercatore di ESET. “Questo software compromesso, distribuito su varie infrastrutture IT, consente il download e l'esecuzione di qualsiasi tipo di payload che può provocare il caos. La natura invisibile di un attacco alla catena di approvvigionamento rende questo metodo di distribuzione del malware molto allettante dal punto di vista di un utente malintenzionato. Lazarus ha utilizzato questa tecnica in passato”, spiega Kálnai. "È anche interessante che Lazarus possa produrre e consumare malware nativo per tutti i principali sistemi operativi desktop: Windows, macOS e Linux."
Inizia con un'offerta di lavoro infetta via e-mail
Operazione DreamJob è il nome dato a una serie di campagne in cui Lazarus utilizza tecniche di ingegneria sociale per compromettere i suoi obiettivi. Le offerte di lavoro false fungono da esca. Il 20 marzo, un utente in Georgia ha inviato a VirusTotal un archivio ZIP chiamato "HSBC job offer.pdf.zip". Date altre campagne Lazarus DreamJob, questo malware è stato probabilmente distribuito tramite spear phishing o messaggi diretti su LinkedIn. L'archivio contiene un singolo file: un binario Intel Linux nativo a 64 bit scritto in Go e denominato "HSBC job offer․pdf".
Gli autori avevano pianificato gli attacchi con largo anticipo, già nel dicembre 2022. Ciò suggerisce che avevano già preso piede sulla rete di 3CX alla fine dell'anno scorso. Pochi giorni prima che l'attacco diventasse noto, un misterioso downloader Linux è stato inviato a VirusTotal. Scarica una nuova backdoor Lazarus per Linux chiamata SimplexTea, che si connette allo stesso server Command & Control dei payload utilizzati nell'attacco 3CX.
Che cos'è un attacco alla catena di approvvigionamento
Gli attacchi alla catena di approvvigionamento sono molto popolari tra gli hacker. Il termine descrive scenari di attacco in cui i criminali informatici intervengono o prendono il controllo del processo di produzione o del ciclo di sviluppo del software. Gli utenti finali di un prodotto possono ricevere aggiornamenti manipolati per il software utilizzato.
Sull'attacco a 3CX
L'azienda offre software client per utilizzare i propri sistemi tramite un browser Web, un'app mobile o un'applicazione desktop. Alla fine di marzo 2023, è stato scoperto che l'applicazione desktop per Windows e macOS conteneva codice dannoso. Ciò ha consentito agli aggressori di scaricare ed eseguire codice arbitrario su qualsiasi computer su cui era installata l'applicazione. Lo stesso 3CX è stato compromesso e il suo software è stato utilizzato in un attacco alla catena di approvvigionamento per distribuire malware aggiuntivo a determinati clienti 3CX.
Altro su ESET.com
Informazioni su ESET ESET è una società europea con sede a Bratislava (Slovacchia). Dal 1987, ESET sviluppa software di sicurezza pluripremiati che hanno già aiutato oltre 100 milioni di utenti a usufruire di tecnologie sicure. L'ampio portafoglio di prodotti per la sicurezza copre tutte le principali piattaforme e offre alle aziende e ai consumatori di tutto il mondo il perfetto equilibrio tra prestazioni e protezione proattiva. L'azienda ha una rete di vendita globale in oltre 180 paesi e uffici a Jena, San Diego, Singapore e Buenos Aires. Per maggiori informazioni visita www.eset.de o seguici su LinkedIn, Facebook e Twitter.