24/04/23
Исследователи кибербезопасности ESET недавно обнаружили новую вредоносную кампанию северокорейских хакеров Lazarus Group, которая, как полагается, является частью операции DreamJob, нацеленной в этот раз на пользователей Linux.
Прошлая волна вредоносной активности Lazarus, направленная на Windows-компьютеры, была зафиксирована в марте этого года. В её ходе были скомпрометированы несколько компаний, которым хакеры внедрили троянскую версию клиента 3CX для кражи информации.
Компания Mandiant опубликовала итоговые результаты своего расследования взлома 3CX, ещё раз связав атаку с северокорейскими злоумышленниками. В отчёте говорится, что среда разработки 3CX была скомпрометирована после того, как один из сотрудников установил программное обеспечение от Trading Technologies, установщик которого был заражён трояном.
Операция Lazarus DreamJob, также известная как Nukesped, представляет собой постоянно продолжающуюся вредоносную активность, нацеленную на людей, работающих с программным обеспечением или платформами DeFi, поясняет Securitylab. Атаки начинаются через поддельные предложения о работе на LinkedIn * и прочих коммуникационных платформах.
С помощью социальной инженерии хакеры пытаются обманом заставить жертв загрузить вредоносные файлы, замаскированные под документы, содержащие сведения о предлагаемой рабочей вакансии. Однако на самом деле эти документы лишь загружают вредоносное ПО на целевой компьютер.
В случае, обнаруженном компанией ESET, злоумышленники Lazarus распространяли ZIP-архив с кликбейтным названием на тему предложения работы в определённой организации. Архив доставлялся средствами целевого фишинга или прямых сообщений в LinkedIn. Внутри архива был спрятан бинарный файл Linux, написанный на языке Go. Как сообщают специалисты, хакеры немного «поколдовали» с названием бинарного файла, чтобы он выглядел как PDF.
«Интересно, что расширение файла на самом деле не ".pdf". Дело в том, что видимая точка в имени файла — это одноточечный пунктир, представленный символом Unicode U+2024. Использование одноточечного пунктира в имени файла, вероятно, было попыткой обмануть файловый менеджер, заставив его рассматривать файл как исполняемый, а не как PDF. Это может привести к тому, что файл будет запускаться при двойном щелчке вместо его открытия в программе просмотра PDF», — поясняют в ESET.
Иными словами, когда получатель дважды щёлкает на файл, чтобы открыть на первый взгляд обычный PDF-документ, вместо этого запускается вредоносное ПО, известное как «OdicLoader», но поверх, разумеется, отображается фиктивный PDF-файл для отвода глаз. Когда как в фоне загружается полезная нагрузка следующего этапа из репозитория злоумышленника, размещенного в облачной службе OpenDrive.
Полезная нагрузка второго этапа — это бэкдор на языке C++ под названием «SimplexTea». Проанализировав данный бэкдор, специалисты ESET определили, что он очень похож по функциональности, методам шифрования и жестко запрограммированной инфраструктуре, на другое вредоносное ПО, также используемое Lazarus, под названием «BadCall» (для Windows), а также на вариант для macOS под названием «SimpleSea».
Переход Lazarus на вредоносное ПО для Linux иллюстрируют постоянно развивающуюся стратегию хакеров, которая теперь покрывает все основные операционные системы.
Операция DreamJob уже привела к огромному успеху злоумышленников из Lazarus, позволив им украсть 620 миллионов долларов у компании Axie Infinity. ФБР также подтвердило, что Lazarus стоит за кражей криптовалюты на 100 миллионов долларов с платформы Harmony Bridge.
Недавняя атака Lazarus на цепочку поставок 3CX знаменует собой ещё один громкий успех северокорейских злоумышленников, наводящих ужас на мировое киберсообщество.
