ESET araştırmacıları yakın zamanda, Linux kullanıcılarının ilk kez yeni “Operation DreamJob” Lazarus kampanyasında kötü amaçlı yazılımları hedef aldıklarını keşfettiler.
DreamJob’un arkasındaki grup, hedeflerinden taviz vermek için sahte iş teklifleri kisvesi altında sosyal mühendislik taktikleri uyguluyor.
Uzmanlar, bir ZIP dosyasındaki yanlış bir HSBC iş teklifinden bir OpenDrive bulut depolama hesabı aracılığıyla SimplexTea Linux arka kapısının dağıtımına kadar olan zinciri izleyerek tüm sıralamayı yeniden oluşturabilir.
Bu Kuzey Kore bağlantılı tehdit aktörünün bu operasyonda Linux kötü amaçlı yazılımını kullandığından ilk kez kamuoyuna bahsediliyor. Bu keşif aynı zamanda uzmanların 3CX tedarik zinciri saldırısından Lazarus’un sorumlu olduğunu doğrulamasını sağladı.
3CX Tedarik Zinciri Saldırısı
Birçok şirket, önde gelen uluslararası VoIP ve telefon hizmetleri sağlayıcılarından biri olduğundan, telefon sistemleri hizmetleri için 3CX’e güvenmektedir.
3CX için 600.000’den fazla müşteri mevcuttur ve aşağıdaki sektörlerde ayrıca 12.000.000’den fazla kullanıcıya sahiptir:-
- havacılık
- Sağlık hizmeti
- misafirperverlik
Windows ve macOS için masaüstü uygulamasında kötü amaçlı kodun keşfi Mart 2023’te yapıldı.
Bu, bir grup saldırgan tarafından uygulamanın yüklü olduğu tüm makinelerde keyfi kodun indirilmesine ve çalıştırılmasına izin verirken.
Sonuç olarak, 3CX yazılımı saldırıya uğradı ve harici saldırganlar bunu bir tedarik zinciri saldırısının parçası olarak belirli müşterilere kötü amaçlı yazılım dağıtmak için kullandı.
Aşağıda zaman çizelgesinden bahsetmiştik: –
Rüya İşi Operasyonu
Operation Dream Job’un (DeathNote veya NukeSped olarak da bilinir) arkasındaki grup, insanları birden çok saldırı dalgasında kötü amaçlı yazılım indirmeleri için kandırmak için sahte iş teklifleri kullanır.
Şu anda, ZIP dosyasının nasıl dağıtıldığı belli değil, ancak hedef odaklı kimlik avı veya LinkedIn’deki doğrudan mesajlar şüpheli yöntemler.
ESET’e göre bu sosyal mühendislik saldırıları, mağdurları istihdamla ilgili belgeler gibi görünerek bilgisayarlarına kötü amaçlı yazılım bulaştıran dosyaları indirmeleri için kandırıyor.
Bunun dışında, C++ ile yazılmış arka kapı, daha önce BADCALL adlı grupla ilişkilendirilmiş olanla aynı görünüme sahiptir, bu başka bir Windows truva atıdır.
Söz konusu ZIP arşivi, hedef odaklı kimlik avı veya LinkedIn’deki doğrudan mesajlar aracılığıyla dağıtılır ve arşivin adı:-
Go’da yazılmış bir Linux ikili dosyası, PDF dosyası olarak görünmesi için Unicode karakteriyle adlandırılan arşivin içinde gizlidir.
Dosya adının uzantısı “.pdf” değil çünkü görünen nokta, lider nokta görevi gören bir U+2024 Unicode karakteridir.
Dosya adındaki lider nokta, muhtemelen dosya yöneticisini dosyayı bir PDF yerine yürütülebilir bir dosya olarak çalıştırması için kandırmak için bir numaraydı ve bu da çift tıklama üzerine istenmeyen yürütmeye yol açıyordu.
Dosyaya çift tıklandığında, sahte bir PDF belgesini yem olarak görüntülerken OpenDrive’daki özel bir havuzdan ikinci aşama bir kötü amaçlı yazılım indiren OdicLoader kötü amaçlı yazılımı başlatılır.
OdicLoader, ~/.config/guiconfigd/SimplexTea konumuna bıraktığı SimplexTea yükünü teslim eder ve SimplexTea’nın Bash ile çalışmasını ve yeni kabuk oturumları sırasında sessiz kalmasını sağlamak için kullanıcının ~/.bash_profile dosyasını değiştirir.
Tedarik zinciri saldırıları, gizlilikleri nedeniyle tercih edilen bir kötü amaçlı yazılım dağıtım yöntemidir ve Lazarus bu tekniği 2020’de WIZVERA VeraPort yazılımının Güney Koreli kullanıcılarını hedeflemek için kullandı.
Lazarus’un önceki DreamJob Operasyonu saldırıları inanılmaz derecede kazançlıydı ve grubun Axie Infinity’den 620 milyon $ çalmasına neden oldu.
En son 3CX hack’inde gözlemlenen teknikler ve benzerlikler, Lazarus grubunun tipik işleyiş biçimi ve araç seti ile uyumlu olup, onların güçlü katılımını gösterir.
Ayrıca, kötü şöhretli Lazarus grubu, 3CX’e yaptıkları son tedarik zinciri saldırısıyla yüksek profilli bir galibiyet daha aldı.