Des similitudes avec des logiciels malveillants Linux récemment découverts utilisés dans l'opération DreamJob corroborent la théorie selon laquelle le tristement célèbre groupe aligné sur la Corée du Nord est à l'origine de l'attaque de la chaîne d'approvisionnement 3CX
Les chercheurs d'ESET ont découvert une nouvelle campagne Lazarus Operation DreamJob ciblant les utilisateurs de Linux. Operation DreamJob est le nom d'une série de campagnes où le groupe utilise des techniques d'ingénierie sociale pour compromettre ses cibles, avec de fausses offres d'emploi comme leurre. Dans ce cas, nous avons pu reconstituer la chaîne complète, depuis le fichier ZIP qui délivre une fausse offre d'emploi HSBC comme leurre, jusqu'à la charge utile finale : la porte dérobée SimplexTea Linux distribuée via un OpenDrive compte de stockage en nuage. À notre connaissance, il s'agit de la première mention publique de cet acteur majeur de la menace aligné sur la Corée du Nord utilisant un logiciel malveillant Linux dans le cadre de cette opération.
De plus, cette découverte nous a permis de confirmer avec un haut niveau de confiance que la récente attaque de la chaîne d'approvisionnement 3CX était en fait menée par Lazarus - un lien suspecté dès le début et démontré par plusieurs chercheurs en sécurité depuis. Dans cet article de blog, nous corroborons ces découvertes et fournissons des preuves supplémentaires sur le lien entre Lazarus et l'attaque de la chaîne d'approvisionnement 3CX.
L'attaque de la chaîne d'approvisionnement 3CX
3CX est un développeur et distributeur international de logiciels VoIP qui fournit des services de système téléphonique à de nombreuses organisations. Selon son site Web, 3CX compte plus de 600,000 12,000,000 clients et 2023 3 3 d'utilisateurs dans divers secteurs, notamment l'aérospatiale, la santé et l'hôtellerie. Il fournit un logiciel client pour utiliser ses systèmes via un navigateur Web, une application mobile ou une application de bureau. Fin mars 3, il a été découvert que l'application de bureau pour Windows et macOS contenait un code malveillant qui permettait à un groupe d'attaquants de télécharger et d'exécuter du code arbitraire sur toutes les machines sur lesquelles l'application était installée. Rapidement, il a été déterminé que ce code malveillant n'était pas quelque chose que XNUMXCX avait ajouté lui-même, mais que XNUMXCX avait été compromis et que son logiciel avait été utilisé dans une attaque de la chaîne d'approvisionnement menée par des acteurs de menaces externes pour distribuer des logiciels malveillants supplémentaires à des clients XNUMXCX spécifiques.
Ce cyber-incident a défrayé la chronique ces derniers jours. Initialement signalé le 29 marsth, 2023 dans un Reddit fil de discussion par un ingénieur CrowdStrike, suivi d'un rapport officiel de CrowdStrike, déclarant avec une grande confiance que LABIRINTH CHOLLIMA, le nom de code de la société pour Lazarus, était à l'origine de l'attaque (mais en omettant toute preuve à l'appui de cette affirmation). En raison de la gravité de l'incident, plusieurs sociétés de sécurité ont commencé à fournir leurs résumés des événements, à savoir Sophos, Check Point, Broadcom, Trend Microet plus encore.
De plus, la partie de l'attaque affectant les systèmes exécutant macOS a été couverte en détail dans un Twitter fil et un blogpost par Patrick Wardle.
Chronologie des événements
Figure 1. Chronologie des événements liés à la préparation et à la distribution des applications trojanisées 3CX
La chronologie montre que les auteurs avaient planifié les attaques bien avant l'exécution ; dès décembre 2022. Cela suggère qu'ils avaient déjà un pied dans le réseau de 3CX à la fin de l'année dernière.
Alors que l'application macOS trojanisée 3CX montre qu'elle a été signée fin janvier, nous n'avons pas vu la mauvaise application dans notre télémétrie jusqu'au 14 février.th, 2023. Il n'est pas clair si la mise à jour malveillante pour macOS a été distribuée avant cette date.
Bien que la télémétrie ESET montre l'existence de la charge utile de deuxième étape de macOS dès février, nous n'avions pas l'échantillon lui-même, ni les métadonnées pour nous informer de sa malveillance. Nous incluons ces informations pour aider les défenseurs à déterminer jusqu'où les systèmes ont pu être compromis.
Plusieurs jours avant que l'attaque ne soit révélée publiquement, un mystérieux téléchargeur Linux a été soumis à VirusTotal. Il télécharge une nouvelle charge utile malveillante Lazarus pour Linux et nous expliquons sa relation avec l'attaque plus loin dans le texte.
Attribution de l'attaque de la chaîne d'approvisionnement 3CX à Lazarus
Ce qui est déjà publié
Il existe un domaine qui joue un rôle important dans notre raisonnement d'attribution : journalide[.]org. Il est mentionné dans certains des rapports de fournisseurs liés ci-dessus, mais sa présence n'est jamais expliquée. Fait intéressant, des articles de SentinelleUn ainsi que ObjectifVoir ne mentionnez pas ce domaine. Un article de blog de Volexity, qui s'est même abstenu de fournir une attribution, déclarant "Volexity ne peut actuellement pas associer l'activité divulguée à un acteur menaçant". Ses analystes ont été parmi les premiers à enquêter en profondeur sur l'attaque et ils ont créé un outil pour extraire une liste de serveurs C&C à partir d'icônes chiffrées sur GitHub. Cet outil est utile, car les attaquants n'ont pas intégré les serveurs C&C directement dans les étapes intermédiaires, mais ont plutôt utilisé GitHub comme résolveur de dead drop. Les étapes intermédiaires sont les téléchargeurs pour Windows et macOS que nous appelons IconicLoaders, et les charges utiles qu'ils obtiennent comme IconicStealer et UpdateAgent, respectivement.
Le 30 Marsth, Joe Desimone, un chercheur en sécurité de Sécurité élastique, a été parmi les premiers à fournir, dans un Twitter thread, des indices substantiels que les compromis 3CX sont probablement liés à Lazarus. Il a observé qu'un talon de shellcode était ajouté au début de la charge utile de d3dcompiler_47.dll est similaire aux talons de chargeur AppleJeus attribués à Lazarus par CISA retour en avril 2021.
Le 31 Marsst c'était va rapporté que 3CX avait retenu Mandiant pour fournir des services de réponse aux incidents liés à l'attaque de la chaîne d'approvisionnement.
En Avril 3rd, Kaspersky, grâce à sa télémétrie, a montré une relation directe entre les victimes de la chaîne d'approvisionnement 3CX et le déploiement d'une porte dérobée appelée Gopuram, toutes deux impliquant des charges utiles avec un nom commun, guard64.dll. Les données de Kaspersky montrent que Gopuram est connecté à Lazarus car il coexistait sur les machines victimes aux côtés PommeJeus, malware déjà attribué à Lazarus. Gopuram et AppleJeus ont été observés dans des attaques contre une société de crypto-monnaie.
Puis, le 11 avrilth, le RSSI de 3CX a résumé les conclusions intermédiaires de Mandiant dans un blogpost. Selon ce rapport, deux échantillons de logiciels malveillants Windows, un chargeur de shellcode appelé TAXHAUL et un téléchargeur complexe nommé COLDCAT, ont été impliqués dans la compromission de 3CX. Aucun hachage n'a été fourni, mais la règle YARA de Mandiant, nommée TAXHAUL, se déclenche également sur d'autres échantillons déjà présents sur VirusTotal :
- SHA-1: 2ACC6F1D4656978F4D503929B8C804530D7E7CF6 (ualapi.dll),
- SHA-1: DCEF83D8EE080B54DC54759C59F955E73D67AA65 (wlbsctrl.dll)
Les noms de fichiers, mais pas les MD5, de ces échantillons coïncident avec ceux du blog de Kaspersky. Cependant, 3CX déclare explicitement que COLDCAT diffère de Gopuram.
La section suivante contient une description technique de la nouvelle charge utile Linux malveillante de Lazarus que nous avons récemment analysée, ainsi que la manière dont elle nous a aidés à renforcer le lien existant entre Lazarus et le compromis 3CX.
Opération DreamJob avec une charge utile Linux
L'Opération DreamJob du groupe Lazarus consiste à approcher des cibles via LinkedIn et à les tenter avec des offres d'emploi de leaders de l'industrie. Le nom a été inventé par ClearSky dans un papier publié en août 2020. Cet article décrit une campagne de cyberespionnage Lazarus ciblant les entreprises de la défense et de l'aérospatiale. L'activité se chevauche avec ce que nous appelons l'Opération In(ter)ception, une série d'attaques de cyberespionnage qui se poursuivent depuis au moins Septembre 2019. Il cible les entreprises aérospatiales, militaires et de défense et utilise des outils malveillants spécifiques, initialement uniquement Windows. En juillet et août 2022, nous avons trouvé deux cas d'opération In(ter)ception ciblant macOS. Un échantillon de logiciel malveillant a été soumis à VirusTotal du Brésil, et une autre attaque visait un utilisateur d'ESET en Argentine. Il y a quelques semaines, une charge utile Linux native a été trouvée sur VirusTotal avec un leurre PDF sur le thème HSBC. Cela complète la capacité de Lazarus à cibler tous les principaux systèmes d'exploitation de bureau.
Le 20 Marsth, un utilisateur du pays de Géorgie a soumis à VirusTotal une archive ZIP appelée Offre d'emploi HSBC.pdf.zip. Compte tenu des autres campagnes DreamJob de Lazarus, cette charge utile a probablement été distribuée par harponnage ou par messages directs sur LinkedIn. L'archive contient un seul fichier : un binaire Intel Linux natif 64 bits écrit en Go et nommé Offre d'emploi HSBC․pdf.
Fait intéressant, l'extension de fichier n'est pas . Pdf. C'est parce que le caractère point apparent dans le nom de fichier est un point de repère représenté par le caractère Unicode U+2024. L'utilisation du point de début dans le nom de fichier était probablement une tentative pour inciter le gestionnaire de fichiers à traiter le fichier comme un exécutable au lieu d'un PDF. Cela pourrait entraîner l'exécution du fichier lors d'un double-clic au lieu de l'ouvrir avec une visionneuse PDF. Lors de l'exécution, un PDF leurre est affiché à l'utilisateur à l'aide de xdg-open, qui ouvrira le document à l'aide de la visionneuse PDF préférée de l'utilisateur (voir Figure 3). Nous avons décidé d'appeler ce téléchargeur ELF OdicLoader, car il a un rôle similaire à celui des IconicLoaders sur d'autres plates-formes et la charge utile est extraite d'OpenDrive.
OdicLoader dépose un document PDF leurre, l'affiche à l'aide de la visionneuse PDF par défaut du système (voir Figure 2), puis télécharge une porte dérobée de deuxième étape à partir du OpenDrive service cloud. Le fichier téléchargé est stocké dans ~/.config/guiconfigd (SHA-1 : 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF). Nous appelons cette porte dérobée de deuxième étape SimplexTea.
Comme dernière étape de son exécution, l'OdicLoader modifie ~ / .bash_profile, donc SimplexTea est lancé avec Bash et sa sortie est coupée (~/.config/guiconfigd >/dev/null 2>&1).
Figure 2. Illustration de la chaîne probable de compromis
Figure 3. Un leurre sur le thème HSBC dans la campagne Linux DreamJob
SimplexTea est une porte dérobée Linux écrite en C++. Comme indiqué dans le tableau 1, ses noms de classe sont très similaires aux noms de fonction trouvés dans un exemple, avec le nom de fichier sysnetd, soumis à VirusTotal depuis la Roumanie (SHA-1 : F6760FB1F8B019AF2304EA6410001B63A1809F1D). En raison des similitudes dans les noms de classe et les noms de fonction entre SimplexTea et sysnetd, nous pensons que SimplexTea est une version mise à jour, réécrite de C en C++.
Tableau 1. Comparaison des noms de symboles originaux de deux portes dérobées Linux soumises à VirusTotal
|
guiconfigd |
sysnetd |
| CMsgCmd::Début(vide) | MSG_Cmd |
| CMsgSécurisésDu::Début(vide) | MSG_Suppr |
| CRépMsg::Début(vide) | Rép_MSG |
| CMsgBas::Début(vide) | MSG_Bas |
| CMsgSortie::Début(vide) | MSG_Sortie |
| CMsgReadConfig::Début(vide) | MSG_ReadConfig |
| CMsgExécuter::Début(vide) | MSG_Exécuter |
| CMsgSetPath::Début(vide) | MSG_SetPath |
| CMsgSommeil::Début(vide) | MSG_Sommeil |
| CTest de message::Début(vide) | MSG_Test |
| CMsgUp::Début(vide) | MSG_Haut |
| CMsgWriteConfig::Début(vide) | MSG_WriteConfig |
| MSG_GetComInfo | |
| CMsgHibernate :: Démarrer (vide) | |
| CMsgKeepCon :: Démarrer (vide) | |
| CMsgZipDown :: Start(void) | |
| CMsgZip :: StartZip (vide *) | |
| CMsgZip :: Démarrer (vide) | |
| CHttpWrapper::RecvData(uchar *&,uint *,uint,signed char) | |
| RecevoirMsg | |
| CHttpWrapper ::EnvoyerMsg(_MSG_STRUCT *) | EnvoyerMsg |
| CHttpWrapper :: SendData (uchar *, uint, uint) | |
| CHttpWrapper :: SendMsg (uint, uint, uchar *, uint, uint) | |
| CHttpWrapper::SendLoginData(uchar *,uint,uchar *&,uint *) |
Comment se fait- sysnetd lié à Lazare ? La section suivante montre des similitudes avec la porte dérobée Windows de Lazarus appelée BADCALL.
BADCALL pour Linux
Nous attribuons sysnetd à Lazarus en raison de ses similitudes avec les deux fichiers suivants (et nous pensons que sysnetd est une variante Linux de la porte dérobée du groupe pour Windows appelée BADCALL) :
- P2P_DLL.dll (SHA-1 : 65122E5129FC74D6B5EBAFCC3376ABAE0145BC14), qui montre des similitudes de code avec sysnetd sous la forme de domaines utilisés comme façade pour une fausse connexion TLS (voir Figure 4). Il a été attribué à Lazare par CISA en Décembre 2017. De Septembre 2019, CISA a commencé à appeler les nouvelles versions de ce malware BADCALL (SHA-1 : D288766FA268BC2534F85FD06A5D52264E646C47).
Figure 4. Similitudes entre une variante Windows et une variante Linux de BADCALL (une liste de domaines utilisés comme façade pour une fausse connexion TLS)
- bobine d'impression (SHA-1 : 58B0516D28BD7218B1908FB266B8FE7582E22A5F), qui montre des similitudes de code avec sysnetd (voir Figure 5). Il a été attribué à Lazare par CISA en février 2021. Notez également que SIMPLESEA, une porte dérobée macOS trouvée lors de la réponse à l'incident 3CX, implémente le A5 / 1 chiffrement de flux.
Figure 5. Similitudes entre AppleJeus pour macOS et la variante Linux de BADCALL (la clé du chiffrement de flux A5/1)
Cette version Linux de la porte dérobée BADCALL, sysnetd, charge sa configuration à partir d'un fichier nommé /tmp/vgauthsvclog. Étant donné que les opérateurs Lazarus ont précédemment déguisé leurs charges utiles, l'utilisation de ce nom, qui est utilisé par le service VMware Guest Authentication, suggère que le système ciblé peut être une machine virtuelle Linux VMware. Fait intéressant, la clé XOR dans ce cas est la même que celle utilisée dans SIMPLESEA à partir de l'enquête 3CX.
Figure 6. Chargement d'un fichier de configuration par BADCALL pour Linux, cf. Figure 8
En regardant les trois entiers 32 bits, 0xC2B45678, 0x90ABCDEFet 0xFE268455 à partir de la figure 5, qui représente une clé pour une implémentation personnalisée du chiffrement A5/1, nous avons réalisé que le même algorithme et les clés identiques étaient utilisés dans le malware Windows qui remonte à la fin de 2014 et a été impliqué dans l'un des plus cas notoires de Lazarus : le cybersabotage de Sony Pictures Entertainment (SHA-1 : 1C66E67A8531E3FF1C64AE57E6EDFDE7BEF2352D).
Figure 7. La routine de déchiffrement partagée entre le BADCALL pour Linux et les logiciels malveillants destructeurs ciblés pour Windows à partir de 2014
Points de données d'attribution supplémentaires
Pour récapituler ce que nous avons couvert jusqu'à présent, nous attribuons l'attaque de la chaîne d'approvisionnement 3CX au groupe Lazarus avec un niveau de confiance élevé. Ceci est basé sur les facteurs suivants :
- Logiciels malveillants (le jeu d'intrusion) :
- Le chargeur iconique (samcli.dll) utilise le même type de cryptage fort – AES-GCM – que SimplexTea (dont l'attribution à Lazarus a été établie via la similarité avec BALLCALL pour Linux) ; seuls les clés et les vecteurs d'initialisation diffèrent.
- Basé sur les PE Rich Headers, IconicLoader (samcli.dll) et IconicStealer (sechost.dll) sont des projets de taille similaire et compilés dans le même environnement Visual Studio que les exécutables iertutil.dll (SHA-1 : 5B03294B72C0CAA5FB20E7817002C600645EB475) et iertutil.dll (SHA-1 : 7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC) rapporté dans les campagnes de crypto-monnaie Lazarus par Volexity ainsi que Microsoft. Nous incluons ci-dessous la règle YARA RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023, qui signale tous ces échantillons, et aucun fichier malveillant ou propre non lié, comme testé sur les bases de données ESET actuelles et les soumissions récentes de VirusTotal.
- La charge utile SimplexTea charge sa configuration de manière très similaire au malware SIMPLESEA de la réponse officielle à l'incident de 3CX. La touche XOR diffère (0x5E vs. 0x7E), mais la configuration porte le même nom : apdl.cf (voir la figure 8).
Figure 8. Chargement d'un fichier de configuration par SimplexTea pour Linux, cf. Figure 6
- Infrastructure:
- Il existe une infrastructure réseau partagée avec SimplexTea, car il utilise https://journalide[.]org/djour.php comme c'est C&C, dont le domaine est signalé dans le résultats officiels de la réponse à l'incident du compromis 3CX par Mandiant.
Figure 9. Une URL codée en dur dans SimplexTea pour Linux
Conclusion
Le compromis 3CX a attiré beaucoup d'attention de la part de la communauté de la sécurité depuis sa divulgation le 29 marsth. Ce logiciel compromis, déployé sur diverses infrastructures informatiques, qui permet le téléchargement et l'exécution de tout type de charge utile, peut avoir des effets dévastateurs. Malheureusement, aucun éditeur de logiciels n'est à l'abri d'être compromis et de distribuer par inadvertance des versions trojanisées de ses applications.
La furtivité d'une attaque de la chaîne d'approvisionnement rend cette méthode de distribution de logiciels malveillants très attrayante du point de vue d'un attaquant. Lazare a déjà utilisé cette technique dans le passé, ciblant les utilisateurs sud-coréens du logiciel WIZVERA VeraPort en 2020. Les similitudes avec les logiciels malveillants existants de l'ensemble d'outils Lazarus et avec les techniques typiques du groupe suggèrent fortement que le récent compromis 3CX est également l'œuvre de Lazarus.
Il est également intéressant de noter que Lazarus peut produire et utiliser des logiciels malveillants pour tous les principaux systèmes d'exploitation de bureau : Windows, macOS et Linux. Les systèmes Windows et macOS ont été ciblés lors de l'incident 3CX, le logiciel VoIP de 3CX pour les deux systèmes d'exploitation ayant été traité par un cheval de Troie afin d'inclure du code malveillant pour récupérer des charges utiles arbitraires. Dans le cas de 3CX, il existe à la fois des versions de logiciels malveillants de deuxième niveau pour Windows et macOS. Cet article démontre l'existence d'une porte dérobée Linux qui correspond probablement au malware SIMPLESEA macOS vu dans l'incident 3CX. Nous avons nommé ce composant Linux SimplexTea et montré qu'il faisait partie de l'opération DreamJob, la campagne phare de Lazarus utilisant des offres d'emploi pour attirer et compromettre des victimes sans méfiance.
ESET Research propose des rapports d'intelligence APT privés et des flux de données. Pour toute demande concernant ce service, rendez-vous sur Intelligence des menaces ESET .
IoCs
Fichiers
| SHA-1 | Nom de fichier | Nom de détection ESET | Description |
|---|---|---|---|
| 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF | guiconfigd | Linux/NukeSped.E | SimplexTea pour Linux. |
| 3A63477A078CE10E53DFB5639E35D74F93CEFA81 | HSBC_job_offer․pdf | Linux/NukeSped.E | OdicLoader, un téléchargeur 64 bits pour Linux, écrit en Go. |
| 9D8BADE2030C93D0A010AA57B90915EB7D99EC82 | HSBC_job_offer.pdf.zip | Linux/NukeSped.E | Une archive ZIP avec une charge utile Linux, de VirusTotal. |
| F6760FB1F8B019AF2304EA6410001B63A1809F1D | sysnetd | Linux/NukeSped.G | BADCALL pour Linux. |
| Vu la première fois | 2023-03-20 12:00:35 |
|---|---|
| MD5 | CEDB9CDBAD254F60CFB215B9BFF84FB9 |
| SHA-1 | 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF |
| SHA-256 | EEBB01932DE0B5605DD460CC82844D8693C00EA8AB5FFDF8DBEDE6528C1C18FD |
| Nom de fichier | guiconfigd |
| Description | SimplexTea pour Linux. |
| C & C | https://journalide[.]org/djour.php |
| Téléchargé à partir | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
| Détection | Linux/NukeSped.E |
| Horodatage de compilation PE | N/D |
| Vu la première fois | 2023-03-16 07:44:18 |
|---|---|
| MD5 | 3CF7232E5185109321921046D039CF10 |
| SHA-1 | 3A63477A078CE10E53DFB5639E35D74F93CEFA81 |
| SHA-256 | 492A643BD1EFDACA4CA125ADE1B606E7BBF00E995AC9115AC84D1C4C59CB66DD |
| Nom de fichier | HSBC_job_offer․pdf |
| Description | OdicLoader, un téléchargeur 64 bits pour Linux, en Go. |
| C & C | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
| Téléchargé à partir | N/D |
| Détection | Linux/NukeSped.E |
| Horodatage de compilation PE | N/D |
| Vu la première fois | 2023-03-20 02:23:29 |
|---|---|
| MD5 | FC41CB8425B6432AF8403959BB59430D |
| SHA-1 | 9D8BADE2030C93D0A010AA57B90915EB7D99EC82 |
| SHA-256 | F638E5A20114019AD066DD0E856F97FD865798D8FBED1766662D970BEFF652CA |
| Nom de fichier | HSBC_job_offer.pdf.zip |
| Description | Une archive ZIP avec une charge utile Linux, de VirusTotal. |
| C & C | N/D |
| Téléchargé à partir | N/D |
| Détection | Linux/NukeSped.E |
| Horodatage de compilation PE | N/D |
| Vu la première fois | 2023-02-01 23:47:05 |
|---|---|
| MD5 | AAC5A52B939F3FE792726A13FF7A1747 |
| SHA-1 | F6760FB1F8B019AF2304EA6410001B63A1809F1D |
| SHA-256 | CC307CFB401D1AE616445E78B610AB72E1C7FB49B298EA003DD26EA80372089A |
| Nom de fichier | sysnetd |
| Description | BADCALL pour Linux. |
| C & C | tcp://23.254.211[.]230 |
| Téléchargé à partir | N/D |
| Détection | Linux/NukeSped.G |
| Horodatage de compilation PE | N/D |
Réseau
| adresse IP | Domaine | Fournisseur d'hébergement | Vu la première fois | Détails |
|---|---|---|---|---|
| 23.254.211[.]230 | N/D | Hostwinds LLC. | N/D | Serveur C&C pour BADCALL pour Linux |
| 38.108.185[.]79 38.108.185[.]115 |
od[.]lk | Communications Cogent | 2023-03-16 | Stockage OpenDrive distant contenant SimplexTea (/d/NTJfMzg4MDE1NzJf/vxmedia) |
| 172.93.201[.]88 | journalide[.]org | Nexeon Technologies, Inc. | 2023-03-29 | Serveur C&C pour SimplexTea (/jour.php) |
Techniques d'ATT&CK D'ONGLET
| Tactique | ID | Nom | Description |
|---|---|---|---|
| Reconnaissance | T1593.001 | Rechercher des sites Web/domaines ouverts : médias sociaux | Les attaquants de Lazarus ont probablement approché une cible avec une fausse offre d'emploi sur le thème de HSBC qui correspondrait à l'intérêt de la cible. Cela a été fait principalement via LinkedIn dans le passé. |
| Développement des ressources | T1584.001 | Acquisition d'infrastructure : domaines | Contrairement à de nombreux cas précédents de C&C compromis utilisés dans Operation DreamJob, les opérateurs Lazarus ont enregistré leur propre domaine pour la cible Linux. |
| T1587.001 | Développer des capacités : logiciels malveillants | Les outils personnalisés de l'attaque sont très probablement développés par les attaquants. | |
| T1585.003 | Établir des comptes : comptes cloud | Les attaquants ont hébergé la dernière étape sur le service cloud OpenDrive. | |
| T1608.001 | Fonctionnalités d'étape : télécharger des logiciels malveillants | Les attaquants ont hébergé la dernière étape sur le service cloud OpenDrive. | |
| Internationaux | T1204.002 | Exécution utilisateur : fichier malveillant | OdicLoader se fait passer pour un fichier PDF afin de tromper la cible. |
| Accès initial | T1566.002 | Hameçonnage : lien de harponnage | La cible a probablement reçu un lien vers un stockage distant tiers avec une archive ZIP malveillante, qui a ensuite été soumise à VirusTotal. |
| Persistence | T1546.004 | Exécution déclenchée par un événement : modification de la configuration du shell Unix | OdicLoader modifie le profil Bash de la victime, donc SimplexTea est lancé à chaque démarrage de Bash et sa sortie est mise en sourdine. |
| Évasion défensive | T1134.002 | Manipulation de jeton d'accès : créer un processus avec un jeton | SimplexTea peut créer un nouveau processus, si demandé par son serveur C&C. |
| T1140 | Désobscurcir/décoder des fichiers ou des informations | SimplexTea stocke sa configuration dans un fichier crypté apdl.cf. | |
| T1027.009 | Fichiers ou informations obscurcis : charges utiles intégrées | Les droppers de toutes les chaînes malveillantes contiennent un tableau de données intégré avec une étape supplémentaire. | |
| T1562.003 | Altération des défenses : altération de la journalisation de l'historique des commandes | OdicLoader modifie le profil Bash de la victime, de sorte que les messages de sortie et d'erreur de SimplexTea sont mis en sourdine. SimplexTea exécute de nouveaux processus avec la même technique. | |
| T1070.004 | Suppression de l'indicateur : suppression de fichier | SimplexTea a la capacité de supprimer des fichiers en toute sécurité. | |
| T1497.003 | Évasion de virtualisation/sandbox : évasion basée sur le temps | SimplexTea implémente plusieurs délais de veille personnalisés dans son exécution. | |
| Découverte | T1083 | Découverte de fichiers et de répertoires | SimplexTea peut répertorier le contenu du répertoire avec leurs noms, tailles et horodatages (imitant le ls -la commander). |
| Commander et contrôler | T1071.001 | Protocole de couche d'application : protocoles Web | SimplexTea peut utiliser HTTP et HTTPS pour communiquer avec son serveur C&C, en utilisant une bibliothèque Curl liée statiquement. |
| T1573.001 | Canal crypté : cryptographie symétrique | SimplexTea crypte le trafic C&C à l'aide de l'algorithme AES-GCM. | |
| T1132.001 | Codage des données : Codage standard | SimplexTea encode le trafic C&C en base64. | |
| T1090 | procuration | SimplexTea peut utiliser un proxy pour les communications. | |
| exfiltration | T1041 | Exfiltration sur le canal C2 | SimplexTea peut exfiltrer les données sous forme d'archives ZIP vers son serveur C&C. |
Appendice
Cette règle YARA signale le cluster contenant à la fois IconicLoader et IconicStealer, ainsi que les charges utiles déployées dans les campagnes de crypto-monnaie à partir de décembre 2022.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
/* The following rule will only work with YARA version >= 3.11.0 */ import “pe” rule RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023 { meta: description = ” Rich Headers-based rule covering the IconicLoader and IconicStealer from the 3CX supply chain incident, and also payloads from the cryptocurrency campaigns from 2022-12″ author = “ESET Research” date = “2023-03-31” hash = “3B88CDA62CDD918B62EF5AA8C5A73A46F176D18B” hash = “CAD1120D91B812ACAFEF7175F949DD1B09C6C21A” hash = “5B03294B72C0CAA5FB20E7817002C600645EB475” hash = “7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC” condition: pe.rich_signature.toolid(259, 30818) == 9 and pe.rich_signature.toolid(256, 31329) == 1 and pe.rich_signature.toolid(261, 30818) >= 30 and pe.rich_signature.toolid(261, 30818) <= 38 and pe.rich_signature.toolid(261, 29395) >= 134 and pe.rich_signature.toolid(261, 29395) <= 164 and pe.rich_signature.toolid(257, 29395) >= 6 and pe.rich_signature.toolid(257, 29395) <= 14 } |
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- Frapper l'avenir avec Adryenn Ashley. Accéder ici.
- La source: https://www.welivesecurity.com/2023/04/20/linux-malware-strengthens-links-lazarus-3cx-supply-chain-attack/
