DreamJob 작전에서 사용된 새로 발견된 Linux 맬웨어와의 유사성은 악명 높은 북한 연계 그룹이 3CX 공급망 공격 배후에 있다는 이론을 뒷받침합니다.
ESET 연구원들은 Linux 사용자를 대상으로 하는 새로운 Lazarus Operation DreamJob 캠페인을 발견했습니다. Operation DreamJob은 그룹이 사회 공학 기술을 사용하여 가짜 구인 제안을 미끼로 삼아 대상을 손상시키는 일련의 캠페인 이름입니다. 이 경우 가짜 HSBC 구인 제안을 미끼로 전달하는 ZIP 파일에서 최종 페이로드까지 전체 체인을 재구성할 수 있었습니다. OpenDrive 클라우드 스토리지 계정. 우리가 아는 한, 이 작전의 일부로 Linux 악성코드를 사용하는 이 주요 북한 관련 위협 행위자에 대해 공개적으로 언급한 것은 이번이 처음입니다.
또한 이 발견은 최근 3CX 공급망 공격이 실제로 Lazarus에 의해 수행되었다는 높은 수준의 확신을 가지고 확인하는 데 도움이 되었습니다. 이 링크는 맨 처음부터 의심되었고 이후 여러 보안 연구원에 의해 입증되었습니다. 이 블로그 게시물에서 우리는 이러한 결과를 확증하고 Lazarus와 3CX 공급망 공격 사이의 연결에 대한 추가 증거를 제공합니다.
3CX 공급망 공격
3CX는 많은 조직에 전화 시스템 서비스를 제공하는 국제 VoIP 소프트웨어 개발업체이자 유통업체입니다. 웹사이트에 따르면 3CX는 항공우주, 의료, 숙박업을 포함한 다양한 분야에서 600,000만 명 이상의 고객과 12,000,000만 명 이상의 사용자를 보유하고 있다. 웹 브라우저, 모바일 앱 또는 데스크톱 애플리케이션을 통해 시스템을 사용할 수 있는 클라이언트 소프트웨어를 제공합니다. 2023년 3월 말, Windows 및 macOS용 데스크톱 애플리케이션에 공격자 그룹이 애플리케이션이 설치된 모든 컴퓨터에서 임의 코드를 다운로드하고 실행할 수 있는 악성 코드가 포함되어 있음이 발견되었습니다. 이 악성 코드는 3CX가 직접 추가한 것이 아니라 3CX가 손상되었으며 해당 소프트웨어가 특정 XNUMXCX 고객에게 추가 악성 코드를 배포하기 위해 외부 위협 행위자가 주도하는 공급망 공격에 사용된 것으로 신속하게 확인되었습니다.
이 사이버 사건은 최근 헤드라인을 장식했습니다. 29월 XNUMX일 최초 보고th, 2023년 레딧 CrowdStrike 엔지니어의 스레드, 공식 보고서 CrowdStrike, Lazarus에 대한 회사의 코드명인 LABIRINTH CHOLLIMA가 공격 배후에 있다고 확신을 가지고 밝혔습니다(그러나 주장을 뒷받침하는 증거는 생략함). 사건의 심각성 때문에 여러 보안 회사가 사건 요약을 제공하기 시작했습니다. 소포스 (Sophos), 체크 포인트, 브로드 컴, 트렌드 마이크로수록.
또한 macOS를 실행하는 시스템에 영향을 미치는 공격의 일부는 트위터 스레드와 블로그 게시물 패트릭 워들.
이벤트 타임 라인
그림 1. 3CX 트로이 목마 애플리케이션의 준비 및 배포와 관련된 이벤트 타임라인
타임라인은 가해자가 실행되기 오래 전에 공격을 계획했음을 보여줍니다. 빠르면 2022년 3월. 이것은 그들이 작년 말에 이미 XNUMXCX 네트워크 내부에 발판을 마련했음을 시사합니다.
트로이 목마가 적용된 3CX macOS 애플리케이션은 14월 말에 서명된 것으로 표시되지만 XNUMX월 XNUMX일까지 원격 측정에서 잘못된 애플리케이션을 발견하지 못했습니다.th, 2023. macOS용 악성 업데이트가 해당 날짜 이전에 배포되었는지는 확실하지 않습니다.
ESET 텔레메트리는 빠르면 XNUMX월에 macOS XNUMX단계 페이로드의 존재를 보여주지만, 우리는 샘플 자체나 악성에 대해 알려줄 메타데이터가 없었습니다. 우리는 이 정보를 포함하여 방어자가 시스템이 손상되었을 수 있는 정도를 판단하는 데 도움을 줍니다.
공격이 공개되기 며칠 전에 신비한 Linux 다운로더가 VirusTotal에 제출되었습니다. 그것은 Linux용 새로운 Lazarus 악성 페이로드를 다운로드하고 텍스트 뒷부분에서 공격과의 관계를 설명합니다.
Lazarus에 대한 3CX 공급망 공격의 원인
이미 공개된 내용
귀인 추론에서 중요한 역할을 하는 영역이 하나 있습니다. 저널라이드[.]org. 위에 링크된 일부 공급업체 보고서에 언급되어 있지만 그 존재는 설명되지 않습니다. 흥미롭게도 센티넬 원 과 목표참조 이 도메인을 언급하지 마십시오. 블로그 게시물도 마찬가지입니다. 볼 렉스, 심지어 귀속 제공을 자제하면서 다음과 같이 말했습니다. "Volexity는 현재 공개된 활동을 위협 행위자에 매핑할 수 없습니다.". 그 분석가들은 처음으로 공격을 심층적으로 조사했으며 GitHub의 암호화된 아이콘에서 C&C 서버 목록을 추출하는 도구를 만들었습니다. 이 도구는 공격자가 C&C 서버를 중간 단계에 직접 삽입하지 않고 GitHub를 데드 드롭 리졸버로 사용했기 때문에 유용합니다. 중간 단계는 우리가 IconicLoaders로 표시하는 Windows 및 macOS용 다운로더와 각각 IconicStealer 및 UpdateAgent로 받는 페이로드입니다.
3 월 30th, Joe Desimone, 보안 연구원 탄력적 인 보안, 제공하는 최초의 중 하나, 트위터 스레드, 3CX 기반 타협이 아마도 Lazarus와 연결되어 있다는 실질적인 단서. 그는 쉘코드 스텁이 페이로드 앞에 붙는 것을 관찰했습니다. d3dcompiler_47.dll Lazarus에 기인한 AppleJeus 로더 스텁과 유사합니다. CISA 4 월 2021.
3 월 31st 그것은 존재 신고 3CX는 공급망 공격과 관련된 사건 대응 서비스를 제공하기 위해 Mandiant를 고용했습니다.
에이프릴 3에rd, 카스퍼 스키는 원격 측정을 통해 3CX 공급망 피해자와 Gopuram이라는 백도어 배포 사이의 직접적인 관계를 보여주었습니다. Guard64.dll. Kaspersky 데이터는 Gopuram이 Lazarus와 함께 피해자 시스템에 공존했기 때문에 Lazarus와 연결되어 있음을 보여줍니다. 애플제우스, 이미 Lazarus로 분류된 맬웨어입니다. Gopuram과 AppleJeus는 모두 암호화폐 회사에 대한 공격에서 관찰되었습니다.
그럼 11월 XNUMX일th, 3CX의 CISO는 Mandiant의 중간 조사 결과를 블로그 게시물. 해당 보고서에 따르면 두 개의 Windows 악성 코드 샘플인 TAXHAUL이라는 쉘코드 로더와 COLDCAT이라는 복잡한 다운로더가 3CX 침해에 관여했습니다. 해시가 제공되지 않았지만 TAXHAUL이라는 Mandiant의 YARA 규칙은 VirusTotal에 이미 있는 다른 샘플에서도 트리거됩니다.
- SHA-1 : 2ACC6F1D4656978F4D503929B8C804530D7E7CF6 (ualapi.dll),
- SHA-1 : DCEF83D8EE080B54DC54759C59F955E73D67AA65 (wlbsctrl.dll)
이 샘플의 파일 이름은 MD5가 아니라 Kaspersky 블로그 게시물의 이름과 일치합니다. 그러나 3CX는 COLDCAT이 Gopuram과 다르다고 명시적으로 명시하고 있습니다.
다음 섹션에는 우리가 최근에 분석한 새로운 Lazarus 악성 Linux 페이로드에 대한 기술적 설명과 Lazarus와 3CX 손상 사이의 기존 링크를 강화하는 데 어떻게 도움이 되었는지가 포함되어 있습니다.
Linux 페이로드를 사용한 DreamJob 작업
Lazarus 그룹의 Operation DreamJob은 LinkedIn을 통해 대상에 접근하고 업계 리더의 구인 제안으로 유혹합니다. 이름은 ClearSky에서 종이 2020년 XNUMX월에 게시되었습니다. 이 백서는 방위 및 항공 우주 회사를 대상으로 하는 Lazarus 사이버 스파이 캠페인에 대해 설명합니다. 이 활동은 적어도 이후로 진행되어 온 일련의 사이버 스파이 공격인 Operation In(ter)ception이라고 부르는 것과 겹칩니다. 2019년 XNUMX월. 항공 우주, 군사 및 방위 회사를 대상으로 하며 초기에는 Windows 전용인 특정 악성 도구를 사용합니다. 2022년 XNUMX월과 XNUMX월 동안 macOS를 대상으로 하는 Operation In(ter)ception의 두 인스턴스를 발견했습니다. 하나의 악성코드 샘플이 다음 주소로 제출되었습니다. VirusTotal 브라질에서, 또 다른 공격은 아르헨티나의 ESET 사용자를 대상으로 했습니다. 몇 주 전에 VirusTotal에서 HSBC를 주제로 한 PDF 미끼가 포함된 기본 Linux 페이로드가 발견되었습니다. 이로써 모든 주요 데스크톱 운영 체제를 대상으로 하는 Lazarus의 기능이 완성됩니다.
3 월 20th, 조지아 국가의 사용자가 VirusTotal에 ZIP 아카이브를 제출했습니다. HSBC 채용공고.pdf.zip. Lazarus의 다른 DreamJob 캠페인을 감안할 때 이 페이로드는 아마도 스피어피싱 또는 LinkedIn의 다이렉트 메시지를 통해 배포되었을 것입니다. 아카이브에는 Go로 작성되고 이름이 지정된 기본 64비트 Intel Linux 바이너리 파일이 포함되어 있습니다. HSBC 구인․pdf.
흥미롭게도 파일 확장자는 .PDF. 이는 파일 이름에서 명백한 점 문자가 리더 도트 U+2024 유니코드 문자로 표시됩니다. 파일 이름에 리더 점을 사용한 것은 아마도 파일 관리자를 속여 파일을 PDF 대신 실행 파일로 취급하려는 시도였을 것입니다. 이로 인해 파일을 PDF 뷰어로 여는 대신 두 번 클릭하면 파일이 실행될 수 있습니다. 실행 시 미끼 PDF가 다음을 사용하여 사용자에게 표시됩니다. xdg-open, 사용자가 선호하는 PDF 뷰어를 사용하여 문서를 엽니다(그림 3 참조). 우리는 이 ELF 다운로더를 OdicLoader라고 부르기로 결정했습니다. 다른 플랫폼의 IconicLoaders와 비슷한 역할을 하고 페이로드를 OpenDrive에서 가져오기 때문입니다.
OdicLoader는 유인 PDF 문서를 드롭하고 시스템의 기본 PDF 뷰어를 사용하여 표시한 다음(그림 2 참조) 다음에서 XNUMX단계 백도어를 다운로드합니다. OpenDrive 클라우드 서비스. 다운로드한 파일은 다음 위치에 저장됩니다. ~/.config/guiconfigd (SHA-1: 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF). 이 XNUMX단계 백도어를 SimplexTea라고 합니다.
실행의 마지막 단계로 OdicLoader는 다음을 수정합니다. ~ / .bash_profile이므로 SimplexTea가 Bash와 함께 시작되고 출력이 음소거됩니다(~/.config/guiconfigd >/dev/null 2>&1).
그림 2. 가능한 침해 체인의 그림
그림 3. Linux DreamJob 캠페인의 HSBC 테마 미끼
SimplexTea는 C++로 작성된 Linux 백도어입니다. 표 1에 강조 표시된 대로 해당 클래스 이름은 샘플에서 찾은 함수 이름과 파일 이름이 매우 유사합니다. 시스템넷, 루마니아에서 VirusTotal에 제출(SHA-1: F6760FB1F8B019AF2304EA6410001B63A1809F1D). SimplexTea와 함수 사이의 클래스 이름과 함수 이름의 유사성 때문에 시스템넷, 우리는 SimplexTea가 C에서 C++로 재작성된 업데이트된 버전이라고 생각합니다.
표 1. VirusTotal에 제출된 두 Linux 백도어의 원래 기호 이름 비교
|
GUI구성 |
시스템넷 |
| C메시지Cmd::시작(무효) | MSG_Cmd |
| CMsg보안델::시작(무효) | MSG_Del |
| CMsgDir::시작(무효) | MSG_Dir |
| C메시지다운::시작(무효) | MSG_다운 |
| C메시지종료::시작(무효) | MSG_종료 |
| CMsgReadConfig::시작(무효) | MSG_ReadConfig |
| CMsgRun::시작(무효) | MSG_실행 |
| CMsgSetPath::시작(무효) | MSG_SetPath |
| C메시지수면::시작(무효) | MSG_수면 |
| C메시지테스트::시작(무효) | MSG_테스트 |
| CMsgUp::시작(무효) | MSG_업 |
| CMsgWriteConfig::시작(무효) | MSG_WriteConfig |
| MSG_GetComInfo | |
| CMsgHibernate::시작(무효) | |
| CMsgKeepCon::시작(무효) | |
| CMsgZipDown::시작(무효) | |
| CMsgZip::StartZip(무효 *) | |
| CMsgZip::시작(무효) | |
| CHttpWrapper::RecvData(uchar *&,uint *,uint,signed char) | |
| RecvMsg | |
| CHttpWrapper::메시지 보내기(_MSG_STRUCT *) | 메시지 보내기 |
| CHttpWrapper::SendData(uchar *,단위,단위) | |
| CHttpWrapper::SendMsg(단위, 단위, uchar *, 단위, 단위) | |
| CHttpWrapper::SendLoginData(uchar *,uint,uchar *&,uint *) |
어때 시스템넷 나사로와 관련이 있습니까? 다음 섹션은 BADCALL이라는 Lazarus의 Windows 백도어와의 유사점을 보여줍니다.
리눅스용 배드콜
우리는 속성 시스템넷 다음 두 파일과의 유사성 때문에 Lazarus로 시스템넷 그룹의 Windows용 백도어인 BADCALL의 Linux 변종입니다.
- P2P_DLL.dll (SHA-1: 65122E5129FC74D6B5EBAFCC3376ABAE0145BC14), 코드 유사성을 보여줍니다. 시스템넷 가짜 TLS 연결을 위한 전면으로 사용되는 도메인 형태(그림 4 참조). 그것은 CISA에 의해 Lazarus에 기인했습니다. 2017년 일월. 에서 2019년 XNUMX월, CISA는 이 악성코드의 최신 버전을 BADCALL(SHA-1: D288766FA268BC2534F85FD06A5D52264E646C47).
그림 4. BADCALL의 Windows와 Linux 변종 간의 유사점(가짜 TLS 연결의 전면으로 사용되는 도메인 목록)
- prtspool (SHA-1: 58B0516D28BD7218B1908FB266B8FE7582E22A5F), 코드 유사성을 보여줍니다. 시스템넷 (그림 5 참조). 그것은 나사로에 의해 CISA 2021년 3월. 또한 XNUMXCX 사고 대응 중에 발견된 macOS 백도어인 SIMPLESEA는 A5 / 1 스트림 암호.
그림 5. macOS용 AppleJeus와 BADCALL의 Linux 변형(A5/1 스트림 암호의 키) 간의 유사점
이 Linux 버전의 BADCALL 백도어는 시스템넷, 이름이 지정된 파일에서 구성을 로드합니다. /tmp/vgauthsvclog. Lazarus 운영자는 이전에 페이로드를 위장했기 때문에 VMware 게스트 인증 서비스에서 사용하는 이 이름을 사용하면 대상 시스템이 Linux VMware 가상 머신일 수 있음을 알 수 있습니다. 흥미롭게도 이 경우 XOR 키는 3CX 조사에서 SIMPLESEA에서 사용된 것과 동일합니다.
그림 6. Linux용 BADCALL로 구성 파일 로드, cf. 그림 8
세 개의 32비트 정수를 살펴보면, 0xC2B45678, 0x90ABCDEF및 0xFE268455 A5/5 암호의 맞춤형 구현을 위한 키를 나타내는 그림 1에서 우리는 동일한 알고리즘과 동일한 키가 2014년 말까지 거슬러 올라가는 Windows 악성 코드에 사용되었으며 악명 높은 Lazarus 사례: Sony Pictures Entertainment(SHA-1: 1C66E67A8531E3FF1C64AE57E6EDFDE7BEF2352D).
그림 7. 2014년부터 Linux용 BADCALL과 Windows용 표적 파괴 악성코드 간에 공유된 복호화 루틴
추가 속성 데이터 포인트
지금까지 다룬 내용을 요약하면 3CX 공급망 공격이 Lazarus 그룹의 소행이라고 확신합니다. 이것은 다음과 같은 요인에 근거합니다.
- 맬웨어(침입 세트):
- IconicLoader(samcli.dll)는 SimplexTea와 동일한 유형의 강력한 암호화(AES-GCM)를 사용합니다(Lazarus에 대한 특성은 Linux용 BALLCALL과의 유사성을 통해 설정됨). 키와 초기화 벡터만 다릅니다.
- PE Rich 헤더를 기반으로 두 IconicLoader(samcli.dll) 및 IconicStealer(sechost.dll)는 비슷한 크기의 프로젝트이며 실행 파일과 동일한 Visual Studio 환경에서 컴파일됩니다. iertutil.dll (SHA-1: 5B03294B72C0CAA5FB20E7817002C600645EB475) and iertutil.dll (SHA-1: 7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC)에 의해 Lazarus 암호 화폐 캠페인에서 보고되었습니다. 볼 렉스 과 Microsoft. 아래에 YARA 규칙을 포함합니다. RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023, 현재 ESET 데이터베이스 및 최근 VirusTotal 제출에서 테스트된 대로 이러한 모든 샘플에 플래그를 지정하고 관련 없는 악성 또는 깨끗한 파일은 표시하지 않습니다.
- SimplexTea 페이로드는 3CX 공식 사건 대응에서 SIMPLESEA 악성코드와 매우 유사한 방식으로 구성을 로드합니다. XOR 키가 다릅니다(0x5E 대 0x7E), 하지만 구성 이름은 동일합니다. apdl.cf (그림 8 참조).
그림 8. Linux용 SimplexTea로 구성 파일 로드, cf. 그림 6
- 인프라 :
- SimplexTea가 사용하는 공유 네트워크 인프라가 있습니다. https://journalide[.]org/djour.php 그것으로 C&C, 그의 도메인은 공식 결과 Mandiant의 3CX 손상 사고 대응.
그림 9. Linux용 SimplexTea의 하드코딩된 URL
결론
3CX 손상은 29월 XNUMX일 공개된 이후 보안 커뮤니티에서 많은 관심을 받았습니다.th. 모든 종류의 페이로드를 다운로드하고 실행할 수 있는 다양한 IT 인프라에 배포된 이 손상된 소프트웨어는 치명적인 영향을 미칠 수 있습니다. 불행하게도 어떤 소프트웨어 게시자도 손상되고 부주의하게 트로이 목마화된 버전의 응용 프로그램을 배포하는 데 영향을 받지 않습니다.
공급망 공격의 은밀함은 공격자의 관점에서 멀웨어를 배포하는 이 방법을 매우 매력적으로 만듭니다. Lazarus는 이미 사용했습니다. 이 기술 과거에는 2020년에 WIZVERA VeraPort 소프트웨어의 한국 사용자를 대상으로 했습니다. Lazarus 도구 세트의 기존 멀웨어 및 그룹의 일반적인 기술과 유사하다는 점에서 최근 3CX 손상이 Lazarus의 작업임을 강력하게 시사합니다.
Lazarus가 Windows, macOS 및 Linux와 같은 모든 주요 데스크톱 운영 체제에 대한 맬웨어를 생성하고 사용할 수 있다는 점도 흥미롭습니다. Windows 및 macOS 시스템 모두 3CX 사고 동안 표적이 되었으며, 두 운영 체제용 3CX의 VoIP 소프트웨어는 임의 페이로드를 가져오는 악성 코드를 포함하도록 트로이목마에 감염되었습니다. 3CX의 경우 윈도우와 맥OS 3단계 악성코드 버전이 모두 존재한다. 이 기사는 XNUMXCX 사고에서 발견된 SIMPLESEA macOS 맬웨어에 해당하는 Linux 백도어의 존재를 보여줍니다. 우리는 이 Linux 구성 요소를 SimplexTea라고 명명하고 의심하지 않는 피해자를 유인하고 손상시키기 위해 구인 제안을 사용하는 Lazarus의 주력 캠페인인 Operation DreamJob의 일부임을 보여주었습니다.
ESET Research는 비공개 APT 인텔리전스 보고서 및 데이터 피드를 제공합니다. 본 서비스에 대한 문의사항은 ESET 위협 인텔리전스 페이지.
IoC
파일
| SHA-1 | 파일 이름 | ESET 탐지 이름 | 상품 설명 |
|---|---|---|---|
| 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF | GUI구성 | 리눅스/NukeSped.E | Linux용 SimplexTea. |
| 3A63477A078CE10E53DFB5639E35D74F93CEFA81 | HSBC_취업_오퍼․pdf | 리눅스/NukeSped.E | Go로 작성된 Linux용 64비트 다운로더인 OdicLoader. |
| 9D8BADE2030C93D0A010AA57B90915EB7D99EC82 | HSBC_job_offer.pdf.zip | 리눅스/NukeSped.E | VirusTotal의 Linux 페이로드가 포함된 ZIP 아카이브. |
| F6760FB1F8B019AF2304EA6410001B63A1809F1D | 시스템넷 | 리눅스/NukeSped.G | 리눅스용 배드콜. |
| 처음 본 | 2023-03-20 12:00:35 |
|---|---|
| MD5 | CEDB9CDBAD254F60CFB215B9BFF84FB9 |
| SHA-1 | 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF |
| SHA-256 | EEBB01932DE0B5605DD460CC82844D8693C00EA8AB5FFDF8DBEDE6528C1C18FD |
| 파일 이름 | GUI구성 |
| 상품 설명 | Linux용 SimplexTea. |
| C & C | https://journalide[.]org/djour.php |
| 에서 다운로드 | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
| Detection System | 리눅스/NukeSped.E |
| PE 컴파일 타임스탬프 | 해당 사항 없음 |
| 처음 본 | 2023-03-16 07:44:18 |
|---|---|
| MD5 | 3CF7232E5185109321921046D039CF10 |
| SHA-1 | 3A63477A078CE10E53DFB5639E35D74F93CEFA81 |
| SHA-256 | 492A643BD1EFDACA4CA125ADE1B606E7BBF00E995AC9115AC84D1C4C59CB66DD |
| 파일 이름 | HSBC_취업_오퍼․pdf |
| 상품 설명 | Go에서 Linux용 64비트 다운로더인 OdicLoader. |
| C & C | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
| 에서 다운로드 | 해당 사항 없음 |
| Detection System | 리눅스/NukeSped.E |
| PE 컴파일 타임스탬프 | 해당 사항 없음 |
| 처음 본 | 2023-03-20 02:23:29 |
|---|---|
| MD5 | FC41CB8425B6432AF8403959BB59430D |
| SHA-1 | 9D8BADE2030C93D0A010AA57B90915EB7D99EC82 |
| SHA-256 | F638E5A20114019AD066DD0E856F97FD865798D8FBED1766662D970BEFF652CA |
| 파일 이름 | HSBC_job_offer.pdf.zip |
| 상품 설명 | VirusTotal의 Linux 페이로드가 포함된 ZIP 아카이브. |
| C & C | 해당 사항 없음 |
| 에서 다운로드 | 해당 사항 없음 |
| Detection System | 리눅스/NukeSped.E |
| PE 컴파일 타임스탬프 | 해당 사항 없음 |
| 처음 본 | 2023-02-01 23:47:05 |
|---|---|
| MD5 | AAC5A52B939F3FE792726A13FF7A1747 |
| SHA-1 | F6760FB1F8B019AF2304EA6410001B63A1809F1D |
| SHA-256 | CC307CFB401D1AE616445E78B610AB72E1C7FB49B298EA003DD26EA80372089A |
| 파일 이름 | 시스템넷 |
| 상품 설명 | 리눅스용 배드콜. |
| C & C | TCP://23.254.211[.]230 |
| 에서 다운로드 | 해당 사항 없음 |
| Detection System | 리눅스/NukeSped.G |
| PE 컴파일 타임스탬프 | 해당 사항 없음 |
네트워크
| IP 주소 | 도메인 | 호스팅 제공 업체 | 처음 본 | 세부 정보 |
|---|---|---|---|---|
| 23.254.211[.]230 | 해당 사항 없음 | 호스트윈즈 LLC. | 해당 사항 없음 | Linux용 BADCALL용 C&C 서버 |
| 38.108.185[.]79 38.108.185[.]115 |
오[.]lk | 동제 커뮤니케이션 | 2023-03-16 | SimplexTea(/d/NTJfMzg4MDE1NzJf/vxmedia) |
| 172.93.201[.]88 | 저널라이드[.]org | 넥세온 테크놀로지스 | 2023-03-29 | SimplexTea용 C&C 서버(/djour.php) |
MITRE ATT&CK 기술
| 술책 | ID | 성함 | 상품 설명 |
|---|---|---|---|
| 정찰 | T1593.001 | 열린 웹사이트/도메인 검색: 소셜 미디어 | Lazarus 공격자는 대상의 관심사에 맞는 가짜 HSBC 테마 구인 제안으로 대상에 접근했을 가능성이 있습니다. 이것은 과거에 주로 LinkedIn을 통해 수행되었습니다. |
| 자원 개발 | T1584.001 | 인프라 획득: 도메인 | Operation DreamJob에서 사용된 이전의 손상된 C&C 사례와 달리 Lazarus 운영자는 Linux 대상에 대한 자체 도메인을 등록했습니다. |
| T1587.001 | 기능 개발: 맬웨어 | 공격의 사용자 지정 도구는 공격자가 개발했을 가능성이 큽니다. | |
| T1585.003 | 계정 설정: 클라우드 계정 | 공격자는 클라우드 서비스 OpenDrive에서 마지막 단계를 호스팅했습니다. | |
| T1608.001 | 단계 기능: 맬웨어 업로드 | 공격자는 클라우드 서비스 OpenDrive에서 마지막 단계를 호스팅했습니다. | |
| 실행 | T1204.002 | 사용자 실행: 악성 파일 | OdicLoader는 대상을 속이기 위해 PDF 파일로 가장합니다. |
| 초기 액세스 | T1566.002 | 피싱: 스피어피싱 링크 | 대상은 나중에 VirusTotal에 제출된 악성 ZIP 아카이브가 있는 타사 원격 저장소에 대한 링크를 받았을 가능성이 있습니다. |
| 고집 | T1546.004 | 이벤트 트리거 실행: Unix 셸 구성 수정 | OdicLoader는 피해자의 Bash 프로필을 수정하므로 Bash가 응시되고 출력이 음소거될 때마다 SimplexTea가 시작됩니다. |
| 방어 회피 | T1134.002 | 액세스 토큰 조작: 토큰으로 프로세스 생성 | SimplexTea는 C&C 서버의 지시에 따라 새 프로세스를 생성할 수 있습니다. |
| T1140 | 파일 또는 정보의 난독화/디코드 | SimplexTea는 구성을 암호화된 apdl.cf. | |
| T1027.009 | 난독화된 파일 또는 정보: 임베디드 페이로드 | 모든 악성 체인의 드롭퍼에는 추가 단계가 포함된 임베디드 데이터 배열이 포함되어 있습니다. | |
| T1562.003 | 방어 손상: 명령 기록 로깅 손상 | OdicLoader는 피해자의 Bash 프로필을 수정하므로 SimplexTea의 출력 및 오류 메시지가 음소거됩니다. SimplexTea는 동일한 기술로 새로운 프로세스를 실행합니다. | |
| T1070.004 | 표시 제거: 파일 삭제 | SimplexTea에는 파일을 안전하게 삭제할 수 있는 기능이 있습니다. | |
| T1497.003 | 가상화/샌드박스 회피: 시간 기반 회피 | SimplexTea는 실행 시 여러 사용자 지정 절전 지연을 구현합니다. | |
| 발견 | T1083 | 파일 및 디렉토리 검색 | SimplexTea는 이름, 크기 및 타임스탬프와 함께 디렉토리 콘텐츠를 나열할 수 있습니다( LS -LA 명령). |
| 명령 및 제어 | T1071.001 | 애플리케이션 계층 프로토콜: 웹 프로토콜 | SimplexTea는 정적으로 연결된 Curl 라이브러리를 사용하여 C&C 서버와 통신하기 위해 HTTP 및 HTTPS를 사용할 수 있습니다. |
| T1573.001 | 암호화된 채널: 대칭 암호화 | SimplexTea는 AES-GCM 알고리즘을 사용하여 C&C 트래픽을 암호화합니다. | |
| T1132.001 | 데이터 인코딩: 표준 인코딩 | SimplexTea는 base64를 사용하여 C&C 트래픽을 인코딩합니다. | |
| T1090 | 대리 | SimplexTea는 통신을 위해 프록시를 활용할 수 있습니다. | |
| 여과 | T1041 | C2 채널을 통한 유출 | SimplexTea는 데이터를 ZIP 아카이브로 C&C 서버에 유출할 수 있습니다. |
충수
이 YARA 규칙은 2022년 XNUMX월부터 암호화폐 캠페인에 배포된 페이로드뿐만 아니라 IconicLoader 및 IconicStealer를 모두 포함하는 클러스터에 플래그를 지정합니다.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
/* The following rule will only work with YARA version >= 3.11.0 */ import “pe” rule RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023 { meta: description = ” Rich Headers-based rule covering the IconicLoader and IconicStealer from the 3CX supply chain incident, and also payloads from the cryptocurrency campaigns from 2022-12″ author = “ESET Research” date = “2023-03-31” hash = “3B88CDA62CDD918B62EF5AA8C5A73A46F176D18B” hash = “CAD1120D91B812ACAFEF7175F949DD1B09C6C21A” hash = “5B03294B72C0CAA5FB20E7817002C600645EB475” hash = “7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC” condition: pe.rich_signature.toolid(259, 30818) == 9 and pe.rich_signature.toolid(256, 31329) == 1 and pe.rich_signature.toolid(261, 30818) >= 30 and pe.rich_signature.toolid(261, 30818) <= 38 and pe.rich_signature.toolid(261, 29395) >= 134 and pe.rich_signature.toolid(261, 29395) <= 164 and pe.rich_signature.toolid(257, 29395) >= 6 and pe.rich_signature.toolid(257, 29395) <= 14 } |
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 미래 만들기 w Adryenn Ashley. 여기에서 액세스하십시오.
- 출처: https://www.welivesecurity.com/2023/04/20/linux-malware-strengthens-links-lazarus-3cx-supply-chain-attack/
