APT (Gelişmiş Kalıcı Tehdit) grubu Lazarus, DreamJob Operasyonu ile ilk kez Linux kullanıcılarına saldırdı. En önde gelen kurban, VoIP yazılım geliştiricisi 3CX'tir. ESET uzmanları, 3CX'teki siber saldırı bağlantısını keşfediyor.
BT güvenlik üreticisi ESET'teki araştırmacılar, operasyonun tüm seyrini yeniden yapılandırmayı başardılar ve böylece Kuzey Kore ile ittifak halindeki bilgisayar korsanlarının sözde tedarik zinciri saldırılarının ("tedarik zinciri saldırısı") arkasında olduğunu kanıtladılar. Zip dosyası olarak sahte bir iş teklifiyle sinsi seyrini sürdürür ve SimplexTea kötü amaçlı yazılımıyla son bulur. Linux arka kapısı, bir OpenDrive hesabı aracılığıyla dağıtılır.
3CX: Kuzey Kore'den Lazarus'du
"Son keşiflerimizin ardından, 3CX'e yönelik tedarik zinciri saldırısının arkasında Lazarus Group'un olduğuna dair daha fazla doğrulayıcı kanıt bulduk. ESET araştırmacısı Peter Kálnai, "Bu bağlantı başından beri şüphelenildi ve o zamandan beri birçok güvenlik araştırmacısı tarafından kanıtlandı" diyor. “Çeşitli BT altyapılarında dağıtılan bu güvenliği ihlal edilmiş yazılım, ortalığı kasıp kavurabilecek her türlü yükün indirilmesine ve yürütülmesine izin veriyor. Bir tedarik zinciri saldırısının gizli doğası, bu kötü amaçlı yazılım dağıtım yöntemini bir saldırganın bakış açısından çok çekici kılar. Lazarus bu tekniği geçmişte kullanmıştı,” diye açıklıyor Kálnai. "Lazarus'un tüm büyük masaüstü işletim sistemleri için yerel kötü amaçlı yazılım üretip tüketebilmesi de ilginç: Windows, macOS ve Linux."
E-posta yoluyla virüs bulaşmış iş teklifiyle başlayın
DreamJob Operasyonu, Lazarus'un hedeflerinden taviz vermek için toplum mühendisliği tekniklerini kullandığı bir dizi kampanyaya verilen addır. Sahte iş teklifleri yem görevi görür. 20 Mart'ta Gürcistan'daki bir kullanıcı, VirusTotal'a "HSBC iş teklifi.pdf.zip" adlı bir ZIP arşivi gönderdi. Diğer Lazarus DreamJob kampanyaları göz önüne alındığında, bu kötü amaçlı yazılım muhtemelen hedef odaklı kimlik avı veya LinkedIn'deki doğrudan mesajlar aracılığıyla dağıtılmıştır. Arşiv tek bir dosya içerir: Go'da yazılmış ve "HSBC iş teklifi․pdf" adlı yerel bir 64-bit Intel Linux ikili dosyası.
Failler, saldırıları Aralık 2022 gibi erken bir tarihte çok önceden planlamışlardı. Bu, geçen yılın sonlarında 3CX ağında zaten bir yer edindiklerini gösteriyor. Saldırı bilinmeden birkaç gün önce, VirusTotal'a gizemli bir Linux indirici gönderildi. 3CX saldırısında kullanılan yüklerle aynı Komuta ve Kontrol sunucusuna bağlanan SimplexTea adlı Linux için yeni bir Lazarus arka kapısı indirir.
Tedarik zinciri saldırısı nedir
Tedarik zinciri saldırıları, bilgisayar korsanları arasında çok popülerdir. Terim, siber suçluların yazılımın üretim sürecine veya geliştirme döngüsüne müdahale ettiği veya devraldığı saldırı senaryolarını tanımlar. Bir ürünün son kullanıcıları, kullanılan yazılım için manipüle edilmiş güncellemeler alabilir.
3CX'e yapılan saldırı hakkında
Şirket, sistemlerini bir web tarayıcısı, mobil uygulama veya masaüstü uygulaması aracılığıyla kullanmak için istemci yazılımı sunmaktadır. Mart 2023'ün sonlarında, hem Windows hem de macOS için masaüstü uygulamasının kötü amaçlı kod içerdiği keşfedildi. Bu, saldırganların uygulamanın yüklendiği herhangi bir makinede rasgele kod indirmesine ve çalıştırmasına izin verdi. 3CX'in güvenliği ihlal edildi ve yazılımı, belirli 3CX müşterilerine ek kötü amaçlı yazılım dağıtmak için bir tedarik zinciri saldırısında kullanıldı.
Daha fazlası ESET.com'da
ESET Hakkında ESET, merkezi Bratislava'da (Slovakya) bulunan bir Avrupa şirketidir. 1987'den beri ESET, 100 milyondan fazla kullanıcının güvenli teknolojilerden yararlanmasına yardımcı olan ödüllü güvenlik yazılımı geliştirmektedir. Geniş güvenlik ürünleri portföyü, tüm büyük platformları kapsar ve dünya çapındaki işletmelere ve tüketicilere performans ile proaktif koruma arasında mükemmel bir denge sunar. Şirketin 180'den fazla ülkede küresel bir satış ağı ve Jena, San Diego, Singapur ve Buenos Aires'te ofisleri bulunmaktadır. Daha fazla bilgi için www.eset.de adresini ziyaret edin veya bizi LinkedIn, Facebook ve Twitter'da takip edin.