ESET araştırmacıları, Linux kullanıcılarını gaye Meydan yeni bir Lazarus Operasyonu olan DreamJob kampanyasını keşfetti
ESET araştırmacıları, şimal Kore ilişkili tehdit aktörü Lazarus’un DreamJob ismi verilen kampanyasını keşfetti. ESET Research, Lazarus’un Linux kullanıcılarına yönelik Düzmece cazip Amel teklifleriyle maksat aldığı şahısların bilgisayarlarına sızmak için toplumsal mühendislik tekniklerini kullandığı kampanya olan Dreamjob kampanyasını, 3CX telefon sistemi tedarik zinciri hücumuyla ilişkilendirdi.
ESET Research, yem olarak Düzmece bir HSBC Amel teklifi sunan ZIP evrakından nihayet yüke kadar bütün zinciri tekrar oluşturmayı başardı: OpenDrive bulut depolama hesabı aracılığıyla dağıtılan SimplexTea Linux arka kapısı. şimal Kore ilişkili bu Aka tehdit aktörü, operasyonun bir kesimi olarak Linux Üzücü maksatlı yazılımını birinci Sefer kullanıyor. Bu yeni keşfedilen Linux Üzücü gayeli yazılımıyla benzerlikler, 3CX tedarik zinciri saldırısının gerisinde Kötü bir üne sahip şimal Kore ilişkili kümenin olduğu teorisini destekliyor.
Lazarus etkinliklerini araştıran ESET araştırmacısı Peter Kálnai bu mevzuda şunları söyledi: “Bu keşif nihayet 3CX tedarik zinciri saldırısının aslında Lazarus tarafından gerçekleştirildiğine dair inandırıcı ispatlar sunuyor. Baştan beri bu durumdan şüpheleniliyor ve o vakitten beri birçok Emniyet araştırmacısı tarafından buna dikkat çekiliyordu.”
3CX, birçok kuruluşa telefon sistemi hizmetleri sağlayan memleketler arası bir VoIP yazılım geliştiricisi ve distribütörü. Web sitesine nazaran 3CX’in havacılık, sıhhat ve konaklama iç olmak üzere Çeşitli dallarda 600.000’den Çok müşterisi ve 12 milyon kullanıcısı var. Sistemlerini bir web tarayıcısı, taşınabilir uygulama yahut bir masaüstü uygulaması aracılığıyla kullanmak için istemci yazılımı sunuyor. Mart 2023’ün sonlarında, hem Windows hem de macOS için masaüstü uygulamasının yüklendiği bütün makinelerde, bir Küme saldırganın rastgele kod indirip çalıştırmasını sağlayan Üzücü maksatlı kod olduğu keşfedildi. Güvenliği ihlal edilen 3CX yazılımı, kimi 3CX müşterilerine ek olarak Üzücü gayeli yazılım dağıtmak için harici tehdit aktörleri tarafından gerçekleştirilen bir tedarik zinciri atağında kullanıldı.
Kötü hedefli bu bireyler bu hücumları Aralık 2022 üzere Fazla evvelki bir tarihte planlamışlardı. Bu, geçen yılın sonlarında 3CX ağında bir yer edindiklerini gösteriyor. Taarruzun halka açıklanmasından birkaç gün evvel, VirusTotal’a gizemli bir Linux indirici gönderildi. Bu indirici, Linux için yeni bir Lazarus arka kapısı olan SimplexTea’yi indirerek 3CX atağındaki yüklerle tıpkı Komuta ve Denetim sunucusuna bağlanıyor.
Kálnai durumu şöyle açıklıyor: “Çeşitli BT altyapılarına dağıtılan bu güvenliği ihlal edilmiş yazılım, yıkıcı tesirleri olabilecek her türlü yükün indirilmesine ve yürütülmesine İmkan tanır. Bir tedarik zinciri saldırısının kapalılığı, bu Üzücü emelli yazılım dağıtma yolunu bir saldırgan için epey cazip hale getiriyor ve Lazarus bu tekniği aslında daha Evvel kullanmıştı.
DreamJob Operasyonu, Lazarus’un Düzmece cazip Amel teklifleriyle amaç aldığı şahısların bilgisayarlarına sızmak için toplumsal mühendislik tekniklerini kullandığı bir sıra kampanyanın ismi. 20 Mart’ta Gürcistan’daki bir kullanıcı VirusTotal’a HSBC job offer.pdf.zip isimli bir ZIP arşivi gönderdi. Lazarus’un öbür DreamJob kampanyaları göz önüne alındığında, bu yük muhtemelen gayeye yönelik kimlik avı yahut LinkedIn’deki direkt iletiler aracılığıyla dağıtıldı. Arşiv Biricik bir evrak içeriyor: Go’da yazılmış ve HSBC job offer․pdf isimli Lokal bir 64 bit Intel Linux ikili belgesi.
Kaynak: (BYZHA) ak Haber Ajansı
