За допомогою операції DreamJob група APT (Advanced Persistent Threat) Lazarus вперше атакувала користувачів Linux. Найпомітнішою жертвою є розробник програмного забезпечення VoIP 3CX. Експерти ESET виявили зв'язок з кібератакою на 3CX.
Дослідники виробника ІТ-безпеки ESET змогли реконструювати весь хід операції і таким чином довести, що за так званими атаками на ланцюг поставок стояли хакери, пов’язані з Північною Кореєю («атака на ланцюг поставок»). Злочинство починає свій підступний курс із фальшивою пропозицією про роботу у вигляді zip-файлу та закінчується шкідливою програмою SimplexTea. Бекдор Linux поширюється через обліковий запис OpenDrive.
3CX: Це був Lazarus з Північної Кореї
«Після наших нещодавніх відкриттів ми знайшли додаткові підтверджуючі докази того, що Lazarus Group стоїть за атакою на ланцюг поставок на 3CX. Цей зв’язок був підозрілий із самого початку, і згодом він був доведений декількома дослідниками безпеки», – говорить дослідник ESET Пітер Калнаі. «Це скомпрометоване програмне забезпечення, розгорнуте в різних ІТ-інфраструктурах, дозволяє завантажувати та виконувати будь-який тип корисного навантаження, яке може спричинити хаос. Схований характер атаки на ланцюжок поставок робить цей метод розповсюдження зловмисного програмного забезпечення дуже привабливим з точки зору зловмисника. Lazarus використовував цю техніку в минулому», – пояснює Калнаї. «Також цікаво, що Lazarus може виробляти та використовувати рідне шкідливе програмне забезпечення для всіх основних настільних операційних систем: Windows, macOS і Linux».
Почніть із зараженої пропозиції про роботу електронною поштою
Операція DreamJob — це назва серії кампаній, у яких Lazarus використовує методи соціальної інженерії для компрометації своїх цілей. Фальшиві пропозиції роботи служать приманкою. 20 березня користувач із Грузії надіслав у VirusTotal ZIP-архів під назвою «HSBC job offer.pdf.zip». Враховуючи інші кампанії Lazarus DreamJob, це шкідливе програмне забезпечення, ймовірно, поширювалося через фішинг або прямі повідомлення на LinkedIn. Архів містить один файл: рідний 64-розрядний двійковий файл Intel Linux, написаний у Go з назвою «HSBC job offer․pdf».
Зловмисники планували атаки заздалегідь – ще в грудні 2022 року. Це свідчить про те, що вони вже закріпилися в мережі 3CX наприкінці минулого року. За кілька днів до того, як стало відомо про атаку, VirusTotal надіслав таємничий завантажувач Linux. Він завантажує новий бекдор Lazarus для Linux під назвою SimplexTea, який з’єднується з тим самим сервером командування та керування, що й корисні навантаження, використані в атаці 3CX.
Що таке атака на ланцюг поставок
Атаки на ланцюги поставок дуже популярні серед хакерів. Цей термін описує сценарії атак, за яких кіберзлочинці втручаються в процес виробництва або цикл розробки програмного забезпечення або захоплюють їх. Кінцеві користувачі продукту можуть отримувати підроблені оновлення для використовуваного програмного забезпечення.
Про атаку на 3CX
Компанія пропонує клієнтське програмне забезпечення для використання своїх систем через веб-браузер, мобільну програму або програму для комп’ютера. Наприкінці березня 2023 року було виявлено, що настільний додаток для Windows і macOS містить шкідливий код. Це дозволяло зловмисникам завантажувати та запускати довільний код на будь-якій машині, на якій була встановлена програма. Сама 3CX була скомпрометована, а її програмне забезпечення використовувалося в атаці на ланцюжок поставок для розповсюдження додаткового шкідливого програмного забезпечення певним клієнтам 3CX.
Більше на ESET.com
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.