Com a Operação DreamJob, o grupo APT (Advanced Persistent Threat) Lazarus atacou usuários de Linux pela primeira vez. A vítima mais proeminente é o desenvolvedor de software VoIP 3CX. Especialistas da ESET descobrem conexão com ataque cibernético no 3CX.
Os pesquisadores do fabricante de segurança de TI ESET conseguiram reconstruir todo o curso da operação e, assim, provar que os hackers aliados da Coréia do Norte estavam por trás dos chamados ataques à cadeia de suprimentos ("ataque à cadeia de suprimentos"). A travessura segue seu curso insidioso com uma oferta de trabalho falsa como um arquivo zip e termina com o malware SimplexTea. O backdoor do Linux é distribuído por meio de uma conta OpenDrive.
3CX: Era Lazarus da Coreia do Norte
“Após nossas descobertas recentes, encontramos mais evidências corroborativas de que o Lazarus Group estava por trás do ataque à cadeia de suprimentos da 3CX. Essa conexão era suspeita desde o início e desde então foi comprovada por vários pesquisadores de segurança”, diz o pesquisador da ESET, Peter Kálnai. “Esse software comprometido, implantado em várias infraestruturas de TI, permite o download e a execução de qualquer tipo de carga útil que possa causar estragos. A natureza furtiva de um ataque à cadeia de suprimentos torna esse método de distribuição de malware muito atraente do ponto de vista do invasor. Lazarus já usou essa técnica no passado”, explica Kálnai. “Também é interessante que o Lazarus possa produzir e consumir malware nativo para todos os principais sistemas operacionais de desktop: Windows, macOS e Linux”.
Comece com oferta de trabalho infectada via e-mail
Operação DreamJob é o nome dado a uma série de campanhas nas quais o Lazarus usa técnicas de engenharia social para comprometer seus alvos. Ofertas de emprego falsas servem de isca. Em 20 de março, um usuário na Geórgia enviou um arquivo ZIP ao VirusTotal chamado "HSBC job offer.pdf.zip". Considerando outras campanhas do Lazarus DreamJob, esse malware provavelmente foi distribuído por meio de spear phishing ou mensagens diretas no LinkedIn. O arquivo contém um único arquivo: um binário nativo do Intel Linux de 64 bits escrito em Go e denominado "HSBC job offer․pdf".
Os perpetradores planejaram os ataques com bastante antecedência - já em dezembro de 2022. Isso sugere que eles já haviam se estabelecido na rede 3CX no final do ano passado. Alguns dias antes de o ataque se tornar conhecido, um misterioso downloader do Linux foi submetido ao VirusTotal. Ele baixa um novo backdoor do Lazarus para Linux chamado SimplexTea, que se conecta ao mesmo servidor de Comando e Controle das cargas usadas no ataque 3CX.
O que é um ataque à cadeia de suprimentos
Os ataques à cadeia de suprimentos são muito populares entre os hackers. O termo descreve cenários de ataque nos quais cibercriminosos intervêm ou assumem o controle do processo de fabricação ou ciclo de desenvolvimento de software. Os usuários finais de um produto podem receber atualizações manipuladas para o software usado.
Sobre o ataque ao 3CX
A empresa oferece software cliente para usar seus sistemas por meio de um navegador da Web, aplicativo móvel ou aplicativo de desktop. No final de março de 2023, descobriu-se que o aplicativo de desktop para Windows e macOS continha código malicioso. Isso permitiu que os invasores baixassem e executassem códigos arbitrários em qualquer máquina na qual o aplicativo estivesse instalado. A própria 3CX foi comprometida e seu software foi usado em um ataque à cadeia de suprimentos para distribuir malware adicional a determinados clientes da 3CX.
Mais em ESET.com
Sobre ESET A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.