Operation DreamJob では、APT (Advanced Persistent Threat) グループの Lazarus が初めて Linux ユーザーを攻撃しました。 最も顕著な犠牲者は、VoIP ソフトウェア開発者の 3CX です。 ESET の専門家が 3CX に対するサイバー攻撃との関連性を発見。
IT セキュリティ メーカー ESET の研究者は、作戦の全過程を再構築することができ、北朝鮮と同盟関係にあるハッカーがいわゆるサプライ チェーン攻撃 (「サプライ チェーン攻撃」) の背後にいたことを証明しました。 このいたずらは、偽の求人情報を zip ファイルとして提供することで陰湿な経路をたどり、SimplexTea マルウェアで終わります。 Linux バックドアは、OpenDrive アカウントを介して配布されます。
3CX: 北朝鮮のラザロだった
「最近の発見に続いて、Lazarus Group が 3CX に対するサプライ チェーン攻撃の背後にいたことを裏付けるさらなる証拠を発見しました。 この接続は最初から疑われていましたが、その後、複数のセキュリティ研究者によって証明されました」と、ESET の研究者 Peter Kálnai 氏は述べています。 「この侵害されたソフトウェアは、さまざまな IT インフラストラクチャに展開され、大混乱を引き起こす可能性のあるあらゆる種類のペイロードのダウンロードと実行を可能にします。 サプライ チェーン攻撃のステルス性により、このマルウェア配布方法は攻撃者にとって非常に魅力的です。 Lazarus は過去にこの手法を使用していました」と Kálnai 氏は説明します。 「Lazarus がすべての主要なデスクトップ オペレーティング システム (Windows、macOS、Linux) 向けのネイティブ マルウェアを生成および消費できることも興味深いことです。」
メールで感染した求人情報から始める
Operation DreamJob は、Lazarus がソーシャル エンジニアリング技術を使用して標的を侵害する一連のキャンペーンに付けられた名前です。 偽の求人情報は餌として機能します。 20 月 64 日、ジョージア州のユーザーが、「HSBC job offer.pdf.zip」という ZIP アーカイブを VirusTotal に送信しました。 他の Lazarus DreamJob キャンペーンを考えると、このマルウェアはスピア フィッシングまたは LinkedIn のダイレクト メッセージを介して配布された可能性があります。 このアーカイブには、Go で記述され、「HSBC job offer․pdf」という名前のネイティブ XNUMX ビット Intel Linux バイナリである XNUMX つのファイルが含まれています。
加害者は、2022 年 3 月という早い時期に攻撃を計画していました。 攻撃が知られる数日前に、謎の Linux ダウンローダーが VirusTotal に提出されました。 それは、3CX 攻撃で使用されたペイロードと同じコマンド & コントロール サーバーに接続する、SimplexTea と呼ばれる Linux 用の新しい Lazarus バックドアをダウンロードします。
サプライチェーン攻撃とは
サプライ チェーン攻撃は、ハッカーに非常に人気があります。 この用語は、サイバー犯罪者がソフトウェアの製造プロセスまたは開発サイクルに介入または乗っ取る攻撃シナリオを表します。 製品のエンド ユーザーは、使用されているソフトウェアの操作された更新を受け取る場合があります。
3CXへの攻撃について
同社は、Web ブラウザー、モバイル アプリ、またはデスクトップ アプリケーションを介してシステムを使用するためのクライアント ソフトウェアを提供しています。 2023 年 3 月下旬、Windows と macOS の両方のデスクトップ アプリケーションに悪意のあるコードが含まれていることが判明しました。 これにより、攻撃者は、アプリケーションがインストールされている任意のマシンに任意のコードをダウンロードして実行することができました。 3CX 自体が侵害され、そのソフトウェアがサプライ チェーン攻撃に使用されて、特定の XNUMXCX 顧客に追加のマルウェアが配布されました。
詳細はESET.comで
ESETについて ESET は、ブラチスラバ (スロバキア) に本社を置くヨーロッパの会社です。 1987 年以来、ESET は受賞歴のあるセキュリティ ソフトウェアを開発しており、すでに 100 億人を超えるユーザーが安全なテクノロジを利用できるように支援しています。 セキュリティ製品の幅広いポートフォリオは、すべての主要なプラットフォームをカバーし、世界中の企業と消費者にパフォーマンスとプロアクティブな保護の完璧なバランスを提供します。 同社は 180 を超える国にグローバルな販売ネットワークを持ち、イエナ、サンディエゴ、シンガポール、ブエノスアイレスにオフィスを構えています。 詳細については、www.eset.de にアクセスするか、LinkedIn、Facebook、Twitter でフォローしてください。