- ESET-onderzoekers hebben een nieuwe Lazarus Operation Dreamjob campagne ontdekt, gericht op Linux-gebruikers.
- Operation Dreamjob is de naam voor een reeks campagnes waarbij de groep social engineering technieken gebruikt om zijn doelwitten te compromitteren, met valse baanaanbiedingen als lokmiddel.
- ESET reconstrueerde de volledige aaneenschakeling, vanaf het ZIP-bestand dat een valse HSBC-baan aanbiedt als lokmiddel, tot de uiteindelijke backdoor payload.
- Overeenkomsten met deze nieuwste Linux backdoor linken deze met grote zekerheid aan de supply chain-aanval op 3CX.
- 3CX werd gecompromitteerd en haar software werd gebruikt in een supply chain-aanval die door externe bedreigers werd aangestuurd om extra malware te verspreiden onder specifieke klanten van 3CX. De aanval was al in december 2022 gepland.
Sliedrecht, 20 april 2023 – ESET-onderzoekers hebben een nieuwe Lazarus Operation Dreamjob campagne ontdekt die gericht is op Linux-gebruikers. ESET research was in staat om de volledige aaneenschakeling te reconstrueren. Vanaf het ZIP-bestand, dat zogenaamd een baanaanbod was bij HSBC levert, als lokmiddel, tot de uiteindelijke payload: de SimplexTea Linux backdoor, verspreid via een OpenDrive cloud storage-account. Het is de eerste keer dat deze grote Noord-Koreaanse dreigingsactor Linux-malware gebruikt als onderdeel van deze operatie. De gevonden overeenkomsten met deze nieuw ontdekte Linux-malware bevestigen de theorie dat de beruchte Noord-Koreaanse groep achter de supply chain-aanval op 3CX zit.
“Deze laatste ontdekking levert bevestigend bewijs en versterkt ons hoge niveau van vertrouwen, dat de recente 3CX supply-chain aanval in feite werd uitgevoerd door Lazarus. Deze connectie werd vanaf het begin vermoed en is sindsdien door verschillende beveiligingsonderzoekers aangetoond,” zegt ESET-onderzoeker Peter Kálnai, die de activiteiten van Lazarus onderzoekt.
3CX is een internationale VoIP-softwareontwikkelaar en -distributeur die telefoonsysteemdiensten levert aan vele organisaties. Volgens zijn website heeft 3CX meer dan 600.000 klanten en 12 miljoen gebruikers in verschillende sectoren, waaronder luchtvaart, gezondheidszorg en horeca. Het levert software om zijn systemen te gebruiken via een webbrowser, mobiele app of een desktopapplicatie. Eind maart 2023 werd ontdekt dat de 3CX-desktopapplicatie voor zowel Windows, als macOS kwaadaardige code bevatte. Hiermee kon een groep aanvallers willekeurige code downloaden en uitvoeren op alle machines waarop de applicatie was geïnstalleerd. 3CX zelf was gecompromitteerd en haar software werd gebruikt in een supply chain-aanval, aangestuurd door externe dreigingsactoren, om aanvullende malware te verspreiden onder specifieke 3CX-klanten.
De daders hadden de aanvallen al lange tijd voor de uitvoering gepland (namelijk al in december 2022). Dit suggereert dat ze eind vorig jaar al voet aan de grond hadden binnen het netwerk van 3CX. Enkele dagen voordat de aanval openbaar werd gemaakt, werd een mysterieuze Linux downloader ingediend bij VirusTotal. Deze downloadt een nieuwe Lazarus backdoor voor Linux SimplexTea, die verbinding maakt met dezelfde Command & Control server als de payloads die betrokken waren bij de 3CX compromis.
“Deze gecompromitteerde software, ingezet op verschillende IT-infrastructuren, maakt het downloaden en uitvoeren van elk soort payload mogelijk, wat verwoestende gevolgen kan hebben. De sluwheid van een supply chain-aanval maakt deze methode om malware te verspreiden zeer aantrekkelijk vanuit het perspectief van een aanvaller, en Lazarus heeft deze techniek in het verleden al gebruikt,” legt Kálnai uit. “Het is ook interessant om op te merken dat Lazarus native malware kan producten en gebruiken voor alle belangrijke desktop-besturingssystemen: Windows, macOS en Linux,” voegt Marc-Etienne M.Léveillé, ESET-onderzoeker die het onderzoek ondersteunde, toe.
Operation DreamJob is de naam voor een reeks campagnes waarbij Lazarus social engineering-technieken gebruikt om zijn doelwitten te compromitteren, met valse baanaanbiedingen als lokmiddel. Op 20 maart stuurde een gebruiker in Georgië een ZIP-archief genaamd HSBC job offer.pdf.zip naar VirusTotal. Gezien andere DreamJob-campagnes van Lazarus, werd deze payload waarschijnlijk verspreid via spearphishing of directe berichten op LinkedIn. Het archief bevat een enkel bestand: een native 64-bit Intel Linux binary geschreven in Go en genaamd HSBC job offer.pdf.
Voor meer technische informatie over de nieuwste Lazarus DreamJob-campagne en links naar de 3CX-aanval, bekijk de blogpost “Linux malware strengthens links between Lazarus and the 3CX supply-chain attack” op WeLiveSecurity.
Over ESET
Al meer dan 3 decennia ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten voor het leveren van uitgebreide, meerlaagse bescherming tegen cyberdreigingen voor bedrijven, kritieke infrastructuur en consumenten wereldwijd. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf uit de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET is sinds haar oprichting pionier op het gebied van machine learning en cloud technologieën die malware voorkomen, detecteren en erop reageren. ESET is een particulier bedrijf dat wereldwijd wetenschappelijk onderzoek & ontwikkeling bevordert. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook,Instagram en Twitter.