Onderzoekers van ESET hebben een nieuwe Lazarus Operation DreamJob-campagne ontdekt, gericht op Linux-gebruikers. ESET Research kon de volledige keten reconstrueren, vanaf het ZIP-bestand met een valse HSBC-jobaanbieding als lokaas tot de uiteindelijke payload: de SimplexTea Linux-achterdeur die wordt gedistribueerd via een OpenDrive cloudopslagaccount. Het is de eerste keer dat deze grote, aan Noord-Korea gelinkte dreigingsactor Linux-malware gebruikt als onderdeel van zo’n operatie.
· Onderzoekers van ESET hebben een nieuwe Lazarus Operation DreamJob-campagne ontdekt gericht op Linux-gebruikers.
· Operatie DreamJob is de naam van een reeks campagnes waarbij de groep social engineering-technieken gebruikt om haar doelwitten te compromitteren, met nep-jobaanbiedingen als lokaas.
· ESET reconstrueerde de volledige keten, van het ZIP-bestand dat een nepaanbieding voor een HSBC-baan als lokaas gebruikt tot de laatste backdoor-payload.
· Overeenkomsten met deze nieuwste Linux-achterdeur linken deze met grote zekerheid aan de 3CX supply-chain-aanval. 3CX is een internationale VoIP-softwareontwikkelaar en -distributeur die telefoonsysteemdiensten levert.
· 3CX werd gecompromitteerd en de software werd gebruikt in een supply chain-aanval aangestuurd door externe bedreigingsactoren om aanvullende malware te verspreiden onder specifieke 3CX-klanten. De aanval was lang voordien gepland – reeds in december 2022.
SAN DIEGO, PRAAG, 21 april 2023 — Onderzoekers van ESET hebben een nieuwe Lazarus Operation DreamJob-campagne ontdekt, gericht op Linux-gebruikers. ESET Research kon de volledige keten reconstrueren, vanaf het ZIP-bestand met een valse HSBC-jobaanbieding als lokaas tot de uiteindelijke payload: de SimplexTea Linux-achterdeur die wordt gedistribueerd via een OpenDrive cloudopslagaccount. Het is de eerste keer dat deze grote, aan Noord-Korea gelinkte dreigingsactor Linux-malware gebruikt als onderdeel van zo’n operatie. Overeenkomsten met deze nieuw ontdekte Linux-malware bevestigen de theorie dat de beruchte Noord-Koreaanse groep achter de aanval op de toeleveringsketen van 3CX zit.
“Deze nieuwste ontdekking bewijst met klem en versterkt ons groot vertrouwen in het feit dat de recente aanval op de toeleveringsketen van 3CX is uitgevoerd door Lazarus – een link die vanaf het begin werd vermoed en sindsdien door verschillende onderzoekers is aangetoond”, zegt Peter Kálnai, de ESET-onderzoeker die de activiteiten van Lazarus onderzoekt.
3CX is een internationale VoIP-softwareontwikkelaar en -distributeur die telefoonsysteemdiensten levert aan tal van organisaties. Volgens de website heeft 3CX meer dan 600.000 klanten en 12 miljoen gebruikers in verschillende sectoren, waaronder ruimtevaart, gezondheidszorg en horeca. Het biedt klantensoftware om zijn systemen te gebruiken via een webbrowser, een mobiele app of een desktop-app. Eind maart 2023 ontdekte men dat de desktop-app voor zowel Windows als macOS schadelijke code bevatte waarmee een groep aanvallers willekeurige code kon downloaden en uitvoeren op alle machines waarop de app was geïnstalleerd. 3CX was gecompromitteerd en zijn software was gebruikt in een supply chain-aanval aangestuurd door externe bedreigingsactoren om extra malware te verspreiden naar specifieke 3CX-klanten.
De aanvallen waren al in december 2022, lang voor de uitvoering, gepland. Dit suggereert dat aanvallers eind vorig jaar al voet aan de grond hadden in het netwerk van 3CX. Enkele dagen voor de aanval werd onthuld, werd een mysterieuze Linux-downloader ingediend bij VirusTotal. Het downloadt een nieuwe Lazarus-backdoor voor Linux, SimplexTea, die verbinding maakt met dezelfde Command & Control-server als payloads die betrokken zijn bij het 3CX-compromis.
“Deze gecompromitteerde software, ingezet op verschillende IT-infrastructuren, maakt het mogelijk om elke vorm van payload te downloaden en uit te voeren, wat rampzalige gevolgen kan hebben. De onopvallendheid van een supply chain-aanval maakt deze verspreidingsmethode voor malware erg aantrekkelijk voor een aanvaller. Lazarus heeft deze techniek in het verleden al gebruikt”, legt Kálnai uit. “Het is ook interessant te zien dat Lazarus native malware kan produceren en gebruiken voor alle belangrijke desktopbesturingssystemen: Windows, macOS en Linux”, voegt Marc-Etienne M.Léveillé toe, ESET-onderzoeker die hieraan meewerkte.
Operatie DreamJob is de naam van een reeks campagnes waarbij Lazarus social engineering-technieken gebruikt om zijn doelwitten te compromitteren, met nepaanbiedingen als lokaas. Op 20 maart diende een gebruiker uit Georgië bij VirusTotal een ZIP-archief in met de naam HSBC job offer.pdf.zip. Vergeleken met andere DreamJob-campagnes van Lazarus, werd deze payload waarschijnlijk verspreid via spearphishing of directe berichten op LinkedIn. Het archief bevat één enkel bestand: een native 64-bit Intel Linux binary, geschreven in Go en HSBC job offer․pdf genaamd.
Voor meer technische informatie over deze nieuwte Lazarus DreamJob-campagne en links naar de 3CX-aanval op de toeleveringsketen, lees je de blogpost “Linux malware strengthens links between Lazarus and the 3CX supply-chain attack” op www.welivesecurity. Volg zeker ook ESET Research on Twitter voor de nieuwste info over ESET Research.