Las similitudes con el malware de Linux recientemente descubierto utilizado en la Operación DreamJob corroboran la teoría de que el infame grupo alineado con Corea del Norte está detrás del ataque a la cadena de suministro 3CX
Los investigadores de ESET han descubierto una nueva campaña Lazarus Operation DreamJob dirigida a usuarios de Linux. Operation DreamJob es el nombre de una serie de campañas en las que el grupo utiliza técnicas de ingeniería social para comprometer a sus objetivos, con ofertas de trabajo falsas como señuelo. En este caso, pudimos reconstruir la cadena completa, desde el archivo ZIP que entrega una oferta de trabajo falsa de HSBC como señuelo, hasta la carga útil final: el backdoor SimplexTea Linux distribuido a través de un OpenDrive cuenta de almacenamiento en la nube. Hasta donde sabemos, esta es la primera mención pública de este importante actor de amenazas alineado con Corea del Norte que usa malware de Linux como parte de esta operación.
Además, este descubrimiento nos ayudó a confirmar con un alto nivel de confianza que el reciente ataque a la cadena de suministro de 3CX fue de hecho realizado por Lazarus, un vínculo que se sospechó desde el principio y que varios investigadores de seguridad demostraron desde entonces. En esta publicación de blog, corroboramos estos hallazgos y brindamos evidencia adicional sobre la conexión entre Lazarus y el ataque a la cadena de suministro de 3CX.
El ataque a la cadena de suministro de 3CX
3CX es un desarrollador y distribuidor internacional de software VoIP que brinda servicios de sistemas telefónicos a muchas organizaciones. Según su sitio web, 3CX tiene más de 600,000 12,000,000 clientes y 2023 3 3 de usuarios en varios sectores, incluidos el aeroespacial, el cuidado de la salud y la hospitalidad. Proporciona software de cliente para usar sus sistemas a través de un navegador web, una aplicación móvil o una aplicación de escritorio. A fines de marzo de 3, se descubrió que la aplicación de escritorio tanto para Windows como para macOS contenía un código malicioso que permitía a un grupo de atacantes descargar y ejecutar código arbitrario en todas las máquinas donde estaba instalada la aplicación. Rápidamente, se determinó que este código malicioso no era algo que XNUMXCX agregó, sino que XNUMXCX estaba comprometida y que su software se usó en un ataque a la cadena de suministro impulsado por actores de amenazas externos para distribuir malware adicional a clientes específicos de XNUMXCX.
Este ciberincidente ha sido noticia en los últimos días. Reportado inicialmente el 29 de marzoth, 2023 en un Reddit hilo de un ingeniero de CrowdStrike, seguido de un informe oficial de CrowdStrike, afirmando con gran confianza que LABIRINTH CHOLLIMA, el nombre en clave de la compañía para Lázaro, estaba detrás del ataque (pero omitiendo cualquier evidencia que respalde la afirmación). Debido a la gravedad del incidente, varias empresas de seguridad comenzaron a contribuir con sus resúmenes de los hechos, a saber Sophos, Check Point, Broadcom, Trend Micro, y más.
Además, la parte del ataque que afecta a los sistemas que ejecutan macOS se cubrió en detalle en un Twitter hilo y un blogpost por Patrick Wardle.
Cronología de eventos
Figura 1. Cronología de eventos relacionados con la preparación y distribución de aplicaciones troyanizadas 3CX
La línea de tiempo muestra que los perpetradores habían planeado los ataques mucho antes de la ejecución; desde diciembre de 2022. Esto sugiere que ya tenían un punto de apoyo dentro de la red de 3CX a fines del año pasado.
Si bien la aplicación 3CX macOS troyanizada muestra que se firmó a fines de enero, no vimos la aplicación incorrecta en nuestra telemetría hasta el 14 de febrero.th, 2023. No está claro si la actualización maliciosa para macOS se distribuyó antes de esa fecha.
Aunque la telemetría de ESET muestra la existencia de la carga útil de la segunda etapa de macOS ya en febrero, no teníamos la muestra en sí, ni los metadatos para advertirnos sobre su malignidad. Incluimos esta información para ayudar a los defensores a determinar qué tan atrás podrían haberse comprometido los sistemas.
Varios días antes de que se revelara públicamente el ataque, se envió un misterioso descargador de Linux a VirusTotal. Descarga un nuevo payload malicioso de Lazarus para Linux y explicamos su relación con el ataque más adelante en el texto.
Atribución del ataque a la cadena de suministro de 3CX a Lazarus
Lo que ya está publicado
Hay un dominio que juega un papel importante en nuestro razonamiento de atribución: periodismo[.]org. Se menciona en algunos de los informes de proveedores vinculados anteriormente, pero nunca se explica su presencia. Curiosamente, los artículos de Centinela y ObjetivoVer no mencione este dominio. Tampoco una entrada de blog de Volexidad, que incluso se abstuvo de proporcionar atribución, afirmando “Actualmente, Volexity no puede asignar la actividad revelada a ningún actor de amenazas”. Sus analistas fueron de los primeros en investigar el ataque en profundidad y crearon una herramienta para extraer una lista de servidores C&C de íconos encriptados en GitHub. Esta herramienta es útil, ya que los atacantes no incrustaron los servidores C&C directamente en las etapas intermedias, sino que usaron GitHub como un sistema de resolución de problemas. Las etapas intermedias son descargadores para Windows y macOS que denominamos IconicLoaders, y las cargas útiles que obtienen como IconicStealer y UpdateAgent, respectivamente.
En marzo de 30th, Joe Desimone, investigador de seguridad de Seguridad elástica, fue uno de los primeros en proporcionar, en un Twitter subproceso, pistas sustanciales de que los compromisos impulsados por 3CX probablemente estén vinculados a Lazarus. Observó que un trozo de shellcode antepuesto a la carga útil de d3dcompiler_47.dll es similar a los talones del cargador de AppleJeus atribuidos a Lazarus por CISA De vuelta en abril 2021.
En marzo de 31st era "Ser" reportaron que 3CX había contratado a Mandiant para brindar servicios de respuesta a incidentes relacionados con el ataque a la cadena de suministro.
De abril 3rd, Kaspersky, a través de su telemetría, mostró una relación directa entre las víctimas de la cadena de suministro de 3CX y el despliegue de una puerta trasera denominada Gopuram, ambas involucrando cargas útiles con un nombre común, guard64.dll. Los datos de Kaspersky muestran que Gopuram está conectado a Lazarus porque coexistió en las máquinas de las víctimas junto con ManzanaJeus, malware que ya se le atribuía a Lazarus. Tanto Gopuram como AppleJeus fueron observados en ataques contra una empresa de criptomonedas.
Luego, el 11 de abrilth, el CISO de 3CX resumió los hallazgos provisionales de Mandiant en un blogpost. Según ese informe, dos muestras de malware de Windows, un cargador de shellcode llamado TAXHAUL y un descargador complejo llamado COLDCAT, estuvieron involucrados en el compromiso de 3CX. No se proporcionaron hashes, pero la regla YARA de Mandiant, llamada TAXHAUL, también se activa en otras muestras que ya están en VirusTotal:
- SHA-1: 2ACC6F1D4656978F4D503929B8C804530D7E7CF6 (ualap.dll),
- SHA-1: DCEF83D8EE080B54DC54759C59F955E73D67AA65 (wlbsctrl.dll)
Los nombres de archivo, pero no los MD5, de estas muestras coinciden con los de la entrada de blog de Kaspersky. Sin embargo, 3CX establece explícitamente que COLDCAT difiere de Gopuram.
La siguiente sección contiene una descripción técnica del nuevo payload malicioso de Linux de Lazarus que analizamos recientemente, así como también cómo nos ayudó a fortalecer el vínculo existente entre Lazarus y el compromiso de 3CX.
Operación DreamJob con una carga útil de Linux
La Operación DreamJob del grupo Lazarus consiste en acercarse a los objetivos a través de LinkedIn y tentarlos con ofertas de trabajo de los líderes de la industria. El nombre fue acuñado por ClearSky en un publicado en agosto de 2020. Ese documento describe una campaña de ciberespionaje de Lazarus dirigida a empresas aeroespaciales y de defensa. La actividad se superpone con lo que llamamos Operation In(ter)ception, una serie de ataques de ciberespionaje que han estado en curso desde al menos Septiembre 2019. Se dirige a empresas aeroespaciales, militares y de defensa y utiliza herramientas maliciosas específicas, inicialmente solo para Windows. Durante julio y agosto de 2022, encontramos dos instancias de Operation In(ter)ception dirigidas a macOS. Se envió una muestra de malware a VirusTotal de Brasil, y otro ataque dirigido a un usuario de ESET en Argentina. Hace unas semanas, se encontró una carga útil nativa de Linux en VirusTotal con un señuelo de PDF con el tema de HSBC. Esto completa la capacidad de Lazarus para apuntar a todos los principales sistemas operativos de escritorio.
En marzo de 20th, un usuario del país de Georgia envió a VirusTotal un archivo ZIP llamado Oferta de trabajo de HSBC.pdf.zip. Dadas otras campañas de DreamJob de Lazarus, esta carga probablemente se distribuyó a través de spearphishing o mensajes directos en LinkedIn. El archivo contiene un solo archivo: un binario Intel Linux nativo de 64 bits escrito en Go y llamado Oferta de empleo en HSBC․pdf.
Curiosamente, la extensión del archivo no es .pdf. Esto se debe a que el carácter de punto aparente en el nombre del archivo es un punto líder representado por el carácter Unicode U+2024. El uso del punto líder en el nombre del archivo probablemente fue un intento de engañar al administrador de archivos para que tratara el archivo como un ejecutable en lugar de un PDF. Esto podría hacer que el archivo se ejecute al hacer doble clic en lugar de abrirlo con un visor de PDF. En la ejecución, se muestra un PDF de señuelo al usuario usando xdg-open, que abrirá el documento utilizando el visor de PDF preferido del usuario (consulte la Figura 3). Decidimos llamar a este descargador de ELF OdicLoader, ya que tiene una función similar a la de IconicLoaders en otras plataformas y la carga útil se obtiene de OpenDrive.
OdicLoader suelta un documento PDF de señuelo, lo muestra usando el visor de PDF predeterminado del sistema (consulte la Figura 2) y luego descarga una puerta trasera de segunda etapa desde el OpenDrive servicio de almacenamiento en la nube. El archivo descargado se almacena en ~/.config/guiconfigd (sha-1: 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF). Llamamos a esta puerta trasera de segunda etapa SimplexTea.
Como último paso de su ejecución, el OdicLoader modifica ~ / .bash_profile, por lo que SimplexTea se inicia con Bash y su salida se silencia (~/.config/guiconfigd >/dev/null 2>&1).
Figura 2. Ilustración de la probable cadena de compromiso
Figura 3. Un señuelo temático de HSBC en la campaña Linux DreamJob
SimplexTea es una puerta trasera de Linux escrita en C++. Como se destaca en la Tabla 1, sus nombres de clase son muy similares a los nombres de funciones que se encuentran en una muestra, con nombre de archivo sistema, enviado a VirusTotal desde Rumania (SHA-1: F6760FB1F8B019AF2304EA6410001B63A1809F1D). Debido a las similitudes en los nombres de clases y nombres de funciones entre SimplexTea y sistema, creemos que SimplexTea es una versión actualizada, reescrita de C a C++.
Tabla 1. Comparación de los nombres de símbolos originales de dos puertas traseras de Linux enviadas a VirusTotal
|
guiconfig |
sistema |
| CMsjCmd:: Inicio (vacío) | MSG_Cmd |
| CmsgSeguroDel:: Inicio (vacío) | MSG_Del |
| CMsjDir:: Inicio (vacío) | Dirección_MSG |
| CMsjAbajo:: Inicio (vacío) | MSG_Abajo |
| CMensajeSalir:: Inicio (vacío) | MSG_Salir |
| CMsgReadConfig:: Inicio (vacío) | MSG_ReadConfig |
| CMsjEjecutar:: Inicio (vacío) | MSG_Ejecutar |
| CMsgSetPath:: Inicio (vacío) | MSG_SetPath |
| CMsjSueño:: Inicio (vacío) | MSG_Sueño |
| CMsjPrueba:: Inicio (vacío) | MSG_Prueba |
| CMsgArriba:: Inicio (vacío) | MSG_Arriba |
| CMsjWriteConfig:: Inicio (vacío) | MSG_WriteConfig |
| MSG_GetComInfo | |
| CMsgHibernate::Iniciar (vacío) | |
| CMsgKeepCon::Iniciar (vacío) | |
| CMsgZipDown::Inicio(vacío) | |
| CMsgZip::StartZip(vacío *) | |
| CMsgZip::Inicio(vacío) | |
| CHttpWrapper::RecvData(uchar *&,uint *,uint,caracter firmado) | |
| Mensaje recv | |
| Envoltorio CHttp::enviarmensaje(_MSG_STRUCT *) | enviarmensaje |
| CHttpWrapper::SendData(uchar *,uint,uint) | |
| CHttpWrapper::SendMsg(uint,uint,uchar *,uint,uint) | |
| CHttpWrapper::SendLoginData(uchar *,uint,uchar *&,uint *) |
¿Cómo es sistema relacionado con Lázaro? La siguiente sección muestra similitudes con la puerta trasera de Windows de Lazarus llamada BADCALL.
BADCALL para Linux
nosotros atribuimos sistema a Lazarus por sus similitudes con los siguientes dos archivos (y creemos que sistema es una variante de Linux del backdoor del grupo para Windows llamado BADCALL):
- P2P_DLL.dll (sha-1: 65122E5129FC74D6B5EBAFCC3376ABAE0145BC14), que muestra similitudes de código con sistema en forma de dominios utilizados como fachada para conexiones TLS falsas (consulte la Figura 4). Fue atribuido a Lázaro por CISA en Diciembre 2017. De Septiembre 2019, CISA comenzó a llamar a las versiones más nuevas de este malware BADCALL (SHA-1: D288766FA268BC2534F85FD06A5D52264E646C47).
Figura 4. Similitudes entre una variante de Windows y Linux de BADCALL (una lista de dominios utilizados como fachada para una conexión TLS falsa)
- piscina (sha-1: 58B0516D28BD7218B1908FB266B8FE7582E22A5F), que muestra similitudes de código con sistema (ver Figura 5). Fue atribuido a Lázaro por CISA en febrero de 2021. Tenga en cuenta también que SIMPLESEA, una puerta trasera de macOS encontrada durante la respuesta al incidente de 3CX, implementa el A5 / 1 cifrado de flujo.
Figura 5. Similitudes entre AppleJeus para macOS y la variante Linux de BADCALL (la clave para el cifrado de flujo A5/1)
Esta versión de Linux de la puerta trasera BADCALL, sistema, carga su configuración desde un archivo llamado /tmp/vgauthsvclog. Dado que los operadores de Lazarus han disfrazado previamente sus cargas útiles, el uso de este nombre, que es utilizado por el servicio de autenticación de invitados de VMware, sugiere que el sistema de destino puede ser una máquina virtual Linux VMware. Curiosamente, la clave XOR en este caso es la misma que se usó en SIMPLESEA de la investigación de 3CX.
Figura 6. Cargando un archivo de configuración por BADCALL para Linux, cf. Figura 8
Echando un vistazo a los tres enteros de 32 bits, 0xC2B45678, 0x90ABCDEFy 0xFE268455 de la Figura 5, que representa una clave para una implementación personalizada del cifrado A5/1, nos dimos cuenta de que el mismo algoritmo y las claves idénticas se usaron en el malware de Windows que data de finales de 2014 y estuvo involucrado en uno de los más Notorios casos de Lázaro: el cibersabotaje de Sony Pictures Entertainment (SHA-1: 1C66E67A8531E3FF1C64AE57E6EDFDE7BEF2352D).
Figura 7. La rutina de descifrado compartida entre BADCALL para Linux y el malware destructivo dirigido para Windows de 2014
Puntos de datos de atribución adicionales
Para resumir lo que hemos cubierto hasta ahora, atribuimos el ataque a la cadena de suministro de 3CX al grupo Lazarus con un alto nivel de confianza. Esto se basa en los siguientes factores:
- Malware (el conjunto de intrusión):
- El cargador icónico (samcli.dll) usa el mismo tipo de cifrado fuerte, AES-GCM, que SimplexTea (cuya atribución a Lazarus se estableció a través de la similitud con BALLCALL para Linux); solo difieren las claves y los vectores de inicialización.
- Basado en PE Rich Headers, tanto IconicLoader (samcli.dll) y Iconic Stealer (sechost.dll) son proyectos de un tamaño similar y compilados en el mismo entorno de Visual Studio que los ejecutables iertutil.dll (sha-1: 5B03294B72C0CAA5FB20E7817002C600645EB475) y iertutil.dll (sha-1: 7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC) reportado en las campañas de criptomonedas de Lazarus por Volexidad y Microsoft. Incluimos a continuación la regla YARA RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023, que marca todas estas muestras y ningún archivo malicioso o limpio no relacionado, según lo probado en las bases de datos actuales de ESET y las presentaciones recientes de VirusTotal.
- El payload SimplexTea carga su configuración de una manera muy similar al malware SIMPLESEA de la respuesta oficial a incidentes de 3CX. La tecla XOR difiere (0x5E vs 0x7E), pero la configuración lleva el mismo nombre: apdl.cf (ver Figura 8).
Figura 8. Cargando un archivo de configuración por SimplexTea para Linux, cf. Figura 6
- Infraestructura:
- Hay una infraestructura de red compartida con SimplexTea, ya que utiliza https://journalide[.]org/djour.php como C&C, cuyo dominio se reporta en el resultados oficiales de la respuesta al incidente del compromiso 3CX por parte de Mandiant.
Figura 9. Una URL codificada en SimplexTea para Linux
Conclusión
El compromiso de 3CX ha llamado mucho la atención de la comunidad de seguridad desde su divulgación el 29 de marzo.th. Este software comprometido, implementado en varias infraestructuras de TI, que permite la descarga y ejecución de cualquier tipo de carga útil, puede tener efectos devastadores. Desafortunadamente, ningún editor de software es inmune a verse comprometido y distribuir inadvertidamente versiones troyanizadas de sus aplicaciones.
El sigilo de un ataque a la cadena de suministro hace que este método de distribución de malware sea muy atractivo desde la perspectiva del atacante. Lázaro ya ha usado esta tecnica en el pasado, dirigido a los usuarios de Corea del Sur del software WIZVERA VeraPort en 2020. Las similitudes con el malware existente del conjunto de herramientas de Lazarus y con las técnicas típicas del grupo sugieren fuertemente que el reciente compromiso de 3CX también es obra de Lazarus.
También es interesante notar que Lazarus puede producir y usar malware para todos los principales sistemas operativos de escritorio: Windows, macOS y Linux. Tanto los sistemas Windows como macOS fueron atacados durante el incidente de 3CX, y el software VoIP de 3CX para ambos sistemas operativos fue troyanizado para incluir código malicioso para obtener cargas útiles arbitrarias. En el caso de 3CX, existen versiones de malware de segunda etapa para Windows y macOS. Este artículo demuestra la existencia de una puerta trasera de Linux que probablemente corresponde al malware SIMPLESEA macOS visto en el incidente de 3CX. Llamamos a este componente de Linux SimplexTea y demostramos que es parte de Operation DreamJob, la campaña insignia de Lazarus que utiliza ofertas de trabajo para atraer y comprometer a víctimas desprevenidas.
ESET Research ofrece fuentes de datos e informes de inteligencia APT privados. Para cualquier consulta sobre este servicio, visite el Inteligencia de amenazas de ESET .
IoC
archivos
| SHA-1 | Nombre del archivo | Nombre de detección de ESET | Descripción |
|---|---|---|---|
| 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF | guiconfig | Linux/NukeSped.E | SimplexTea para Linux. |
| 3A63477A078CE10E53DFB5639E35D74F93CEFA81 | HSBC_oferta_de_trabajo․pdf | Linux/NukeSped.E | OdicLoader, un descargador de 64 bits para Linux, escrito en Go. |
| 9D8BADE2030C93D0A010AA57B90915EB7D99EC82 | HSBC_oferta_de_trabajo.pdf.zip | Linux/NukeSped.E | Un archivo ZIP con una carga útil de Linux, de VirusTotal. |
| F6760FB1F8B019AF2304EA6410001B63A1809F1D | sistema | Linux/NukeSped.G | BADCALL para Linux. |
| Visto por primera vez | 2023-03-20 12:00:35 |
|---|---|
| MD5 | CEDB9CDBAD254F60CFB215B9BFF84FB9 |
| SHA-1 | 0CA1723AFE261CD85B05C9EF424FC50290DCE7DF |
| SHA-256 | EEBB01932DE0B5605DD460CC82844D8693C00EA8AB5FFDF8DBEDE6528C1C18FD |
| Nombre del archivo | guiconfig |
| Descripción | SimplexTea para Linux. |
| C & C | https://journalide[.]org/djour.php |
| descargado de | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
| Detección | Linux/NukeSped.E |
| Marca de tiempo de compilación de PE | N/A |
| Visto por primera vez | 2023-03-16 07:44:18 |
|---|---|
| MD5 | 3CF7232E5185109321921046D039CF10 |
| SHA-1 | 3A63477A078CE10E53DFB5639E35D74F93CEFA81 |
| SHA-256 | 492A643BD1EFDACA4CA125ADE1B606E7BBF00E995AC9115AC84D1C4C59CB66DD |
| Nombre del archivo | HSBC_oferta_de_trabajo․pdf |
| Descripción | OdicLoader, un descargador de 64 bits para Linux, en Go. |
| C & C | https://od[.]lk/d/NTJfMzg4MDE1NzJf/vxmedia |
| descargado de | N/A |
| Detección | Linux/NukeSped.E |
| Marca de tiempo de compilación de PE | N/A |
| Visto por primera vez | 2023-03-20 02:23:29 |
|---|---|
| MD5 | FC41CB8425B6432AF8403959BB59430D |
| SHA-1 | 9D8BADE2030C93D0A010AA57B90915EB7D99EC82 |
| SHA-256 | F638E5A20114019AD066DD0E856F97FD865798D8FBED1766662D970BEFF652CA |
| Nombre del archivo | HSBC_oferta_de_trabajo.pdf.zip |
| Descripción | Un archivo ZIP con una carga útil de Linux, de VirusTotal. |
| C & C | N/A |
| descargado de | N/A |
| Detección | Linux/NukeSped.E |
| Marca de tiempo de compilación de PE | N/A |
| Visto por primera vez | 2023-02-01 23:47:05 |
|---|---|
| MD5 | AAC5A52B939F3FE792726A13FF7A1747 |
| SHA-1 | F6760FB1F8B019AF2304EA6410001B63A1809F1D |
| SHA-256 | CC307CFB401D1AE616445E78B610AB72E1C7FB49B298EA003DD26EA80372089A |
| Nombre del archivo | sistema |
| Descripción | BADCALL para Linux. |
| C & C | tcp://23.254.211[.]230 |
| descargado de | N/A |
| Detección | Linux/NukeSped.G |
| Marca de tiempo de compilación de PE | N/A |
Nuestra red
| Dirección IP | Dominio | Proveedor de alojamiento | Visto por primera vez | Detalles |
|---|---|---|---|---|
| 23.254.211[.]230 | N/A | Hostwinds LLC. | N/A | Servidor C&C para BADCALL para Linux |
| 38.108.185[.]79 38.108.185[.]115 |
viejo[.]lk | Comunicaciones Cogent | 2023-03-16 | Almacenamiento remoto de OpenDrive que contiene SimplexTea (/d/NTJfMzg4MDE1NzJf/vxmedia) |
| 172.93.201[.]88 | periodismo[.]org | Nexeon Technologies, Inc. | 2023-03-29 | Servidor C&C para SimplexTea (/djour.php) |
Técnicas MITRE ATT & CK
| Táctica | ID | Nombre | Descripción |
|---|---|---|---|
| Reconocimiento | T1593.001 | Buscar sitios web/dominios abiertos: redes sociales | Los atacantes de Lazarus probablemente se acercaron a un objetivo con una oferta de trabajo falsa con el tema de HSBC que encajaría con el interés del objetivo. Esto se ha hecho principalmente a través de LinkedIn en el pasado. |
| Desarrollo de recursos | T1584.001 | Adquirir infraestructura: dominios | A diferencia de muchos casos anteriores de C&C comprometidos utilizados en Operation DreamJob, los operadores de Lazarus registraron su propio dominio para el objetivo de Linux. |
| T1587.001 | Desarrollar capacidades: malware | Es muy probable que los atacantes desarrollen herramientas personalizadas del ataque. | |
| T1585.003 | Establecer cuentas: cuentas en la nube | Los atacantes alojaron la etapa final en el servicio en la nube OpenDrive. | |
| T1608.001 | Capacidades de etapa: Subir malware | Los atacantes alojaron la etapa final en el servicio en la nube OpenDrive. | |
| Ejecución | T1204.002 | Ejecución del usuario: archivo malicioso | OdicLoader se hace pasar por un archivo PDF para engañar al objetivo. |
| Acceso inicial | T1566.002 | Suplantación de identidad: enlace de pesca submarina | El objetivo probablemente recibió un enlace a un almacenamiento remoto de terceros con un archivo ZIP malicioso, que luego se envió a VirusTotal. |
| Persistencia | T1546.004 | Ejecución desencadenada por eventos: modificación de la configuración de Unix Shell | OdicLoader modifica el perfil de Bash de la víctima, por lo que SimplexTea se inicia cada vez que se mira Bash y su salida se silencia. |
| Evasión de defensa | T1134.002 | Manipulación de token de acceso: Crear proceso con token | SimplexTea puede crear un nuevo proceso, si así lo indica su servidor C&C. |
| T1140 | Desofuscar / decodificar archivos o información | SimplexTea almacena su configuración en un cifrado apdl.cf. | |
| T1027.009 | Archivos o información ofuscados: cargas útiles integradas | Los cuentagotas de todas las cadenas maliciosas contienen una matriz de datos integrada con una etapa adicional. | |
| T1562.003 | Deterioro de las defensas: registro del historial de comandos de deterioro | OdicLoader modifica el perfil de Bash de la víctima, por lo que se silencian los mensajes de salida y de error de SimplexTea. SimplexTea ejecuta nuevos procesos con la misma técnica. | |
| T1070.004 | Eliminación del indicador: eliminación de archivos | SimplexTea tiene la capacidad de eliminar archivos de forma segura. | |
| T1497.003 | Evasión de virtualización/sandbox: evasión basada en el tiempo | SimplexTea implementa múltiples retrasos de sueño personalizados en su ejecución. | |
| Descubrimiento de moléculas | T1083 | Descubrimiento de archivos y directorios | SimplexTea puede enumerar el contenido del directorio junto con sus nombres, tamaños y marcas de tiempo (imitando el ls -la mando). |
| Comando y control | T1071.001 | Protocolo de capa de aplicación: protocolos web | SimplexTea puede usar HTTP y HTTPS para comunicarse con su servidor C&C, usando una biblioteca Curl enlazada estáticamente. |
| T1573.001 | Canal cifrado: criptografía simétrica | SimplexTea cifra el tráfico de C&C utilizando el algoritmo AES-GCM. | |
| T1132.001 | Codificación de datos: codificación estándar | SimplexTea codifica el tráfico de C&C usando base64. | |
| T1090 | apoderado | SimplexTea puede utilizar un proxy para las comunicaciones. | |
| exfiltración | T1041 | Exfiltración sobre canal C2 | SimplexTea puede filtrar datos como archivos ZIP a su servidor C&C. |
Apéndice
Esta regla de YARA marca el clúster que contiene tanto IconicLoader como IconicStealer, así como las cargas útiles implementadas en las campañas de criptomonedas a partir de diciembre de 2022.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
/* The following rule will only work with YARA version >= 3.11.0 */ import “pe” rule RichHeaders_Lazarus_NukeSped_IconicPayloads_3CX_Q12023 { meta: description = ” Rich Headers-based rule covering the IconicLoader and IconicStealer from the 3CX supply chain incident, and also payloads from the cryptocurrency campaigns from 2022-12″ author = “ESET Research” date = “2023-03-31” hash = “3B88CDA62CDD918B62EF5AA8C5A73A46F176D18B” hash = “CAD1120D91B812ACAFEF7175F949DD1B09C6C21A” hash = “5B03294B72C0CAA5FB20E7817002C600645EB475” hash = “7491BD61ED15298CE5EE5FFD01C8C82A2CDB40EC” condition: pe.rich_signature.toolid(259, 30818) == 9 and pe.rich_signature.toolid(256, 31329) == 1 and pe.rich_signature.toolid(261, 30818) >= 30 and pe.rich_signature.toolid(261, 30818) <= 38 and pe.rich_signature.toolid(261, 29395) >= 134 and pe.rich_signature.toolid(261, 29395) <= 164 and pe.rich_signature.toolid(257, 29395) >= 6 and pe.rich_signature.toolid(257, 29395) <= 14 } |
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Acuñando el futuro con Adryenn Ashley. Accede Aquí.
- Fuente: https://www.welivesecurity.com/2023/04/20/linux-malware-strengthens-links-lazarus-3cx-supply-chain-attack/
