Uma nova campanha do Lazarus, considerada parte da "Operação DreamJob", foi descoberta pela primeira vez atingindo usuários Linux com malware.
Essa nova abordagem foi descoberta pelos pesquisadores da ESET, que afirmam que isso também ajuda a confirmar com alta confiança que o Lazarus conduziu o recente ataque à cadeia de suprimentos na provedora de VoIP 3CX.
O ataque foi descoberto em março de 2023, comprometendo várias empresas que usavam a versão trojanizada do cliente 3CX com trojans que roubavam informações.
O Lazarus já era suspeito de ser responsável pelo ataque, enquanto várias empresas de cibersegurança concordaram com alta confiança que o agente de ameaças que trojanizou o 3CX tinha conexões norte-coreanas.
Hoje, a Mandiant publicou os resultados de sua investigação sobre a violação do 3CX, vinculando ainda mais o ataque a agentes de ameaças da Coreia do Norte.
A Operação DreamJob do Lazarus, também conhecida como Nukesped, é uma operação em andamento que visa pessoas que trabalham em plataformas de software ou DeFi com ofertas de emprego falsas no LinkedIn ou outras mídias sociais e plataformas de comunicação.
Esses ataques de engenharia social tentam enganar as vítimas para que baixem arquivos maliciosos disfarçados como documentos que contêm detalhes sobre a posição oferecida.
No entanto, esses documentos, na verdade, deixam malware no computador da vítima.
No caso descoberto pela ESET, o Lazarus distribui um arquivo ZIP chamado "oferta de emprego do HSBC.pdf.zip" por meio de spearphishing ou mensagens diretas no LinkedIn.
Dentro do arquivo, há um binário Linux escrito em Go que usa um caractere Unicode em seu nome para parecer um PDF.
Quando o destinatário clica duas vezes no arquivo para abri-lo, o malware, conhecido como "OdicLoader", exibe um PDF falso enquanto baixa simultaneamente um payload de malware de segunda etapa de um repositório privado hospedado no serviço de nuvem OpenDrive.
O payload de segunda etapa é um backdoor C++ chamado "SimplexTea", que é deixado em "~/.config/guiconfigd.SimplexTea".
O OdicLoader também modifica o ~/.bash_profile do usuário para garantir que o SimplexTea seja iniciado com o Bash e sua saída seja silenciada sempre que o usuário iniciar uma nova sessão de shell.
Ao analisar o SimplexTea, a ESET determinou que ele é muito semelhante em funcionalidade, técnicas de criptografia e infraestrutura codificada usada no malware do Windows do Lazarus chamado "BadCall", bem como na variante macOS chamada "SimpleSea".
Além disso, a ESET encontrou uma variante anterior do malware SimplexTea no VirusTotal, chamado "sysnetd", que também é semelhante aos backdoors mencionados, mas escrito em C.
Essa variante anterior carrega sua configuração de um arquivo chamado /tmp/vgauthsvclog, que é usado pelo serviço de autenticação de convidados VMware.
Isso sugere que o sistema-alvo pode ser uma máquina virtual Linux VMware.
Os analistas da ESET também descobriram que o backdoor sysnetd usa uma chave XOR anteriormente descoberta pela investigação do 3CX para ser usada no malware SimpleSea.
A mudança do Lazarus para malware Linux e o ataque ao 3CX ilustram suas táticas em constante evolução, agora suportando todos os principais sistemas operacionais, incluindo Windows e macOS.
Ataques semelhantes da Operação DreamJob do Lazarus levaram a um enorme sucesso para os agentes de ameaças, permitindo que eles roubassem US$ 620 milhões da Axie Infinity.
O FBI também confirmou que o Lazarus estava por trás do roubo de criptomoedas de US$ 100 milhões da Harmony Bridge.
O recente ataque à cadeia de suprimentos do 3CX pelo Lazarus marca outro sucesso de alto perfil para a notória gangue cibernética.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...