Вредоносное ПО Lazarus Hackers для Linux связано с атакой на цепочку поставок 3CX

Новое кибер-исследование связывает печально известную группу Lazarus, связанную с Северной Кореей, стоящую за атакой вредоносного ПО для Linux под названием Operation DreamJob, с атакой на цепочку поставок 3CX.

В киберотчете компании Live Security от 20 апреля исследователи ESET объявили о связи между Lazarus Group и расширенными атаками, которые теперь нацелены на ОС Linux. По словам группы кибербезопасности ESET, атаки являются частью постоянной и длительной активности, отслеживаемой под названием Operation DreamJob, которая затронула цепочки поставок.

Lazarus Group использует методы социальной инженерии для компрометации целей, используя поддельные предложения о работе в качестве приманки. В этом случае исследователи ESET реконструировали всю цепочку от zip-файла, который доставляет фальшивое предложение о работе HSBC в качестве приманки, до окончательной полезной нагрузки. Исследователи обнаружили бэкдор SimplexTea Linux, распространяемый через учетную запись облачного хранилища OpenDrive.

По данным ESET, это первое публичное упоминание об этом крупном злоумышленнике, связанном с Северной Кореей, который использует вредоносное ПО для Linux в рамках этой операции. Это открытие помогло команде подтвердить «с высокой степенью уверенности», что Lazarus Group провела недавнюю атаку на цепочку поставок 3CX.

Исследователи в течение некоторого времени подозревали, что к продолжающимся кибератакам DreamJob причастны злоумышленники, спонсируемые корейским государством. Согласно сообщению в блоге, этот последний отчет подтверждает эту связь.

«Эта атака в полной мере показывает, как злоумышленники продолжают расширять свой арсенал, цели, тактику и охват, чтобы обойти меры и методы безопасности», — сказал LinuxInsider Джон Энтони Смит, генеральный директор компании Conversant Group, занимающейся инфраструктурой и услугами кибербезопасности.

Неудачная веха в киберпространстве

Смит добавил, что атаки на цепочку поставок не новы и не удивительны. Это ахиллесова пята для организаций, и это было неизбежно.

В конце концов, одна цепочка поставок может повлиять на другую, что приведет к «потоковой атаке на цепочку поставок». По его словам, это важная и досадная веха в области безопасности.

«Вероятно, мы увидим больше таких. Мы видим, что злоумышленники расширяют свои варианты, чтобы воздействовать на большее количество систем, например, BlackCat, использующий язык Rust, чтобы их программы-вымогатели могли заражать системы Linux и быть более незаметными», — сказал он, ссылаясь на этот случай использования вредоносного ПО для Linux.

Он описал кибератаки на DreamJob как новый взгляд на старый сценарий поддельных предложений. Субъекты угроз будут продолжать находить новые повороты, варианты, схемы и векторы.

«Поэтому организации всегда должны быть гибкими в регулярной оценке своих средств контроля наряду с этими меняющимися и расширяющимися тактиками», — посоветовал Смит.

Подробности атаки раскрыты

3CX — разработчик и дистрибьютор программного обеспечения для VoIP, предоставляющий услуги телефонной связи многим организациям. У этой компании более 600 000 клиентов и 12 000 000 пользователей в различных секторах, включая аэрокосмическую промышленность, здравоохранение и гостиничный бизнес. Он доставляет клиентское программное обеспечение через веб-браузер, мобильное приложение или настольное приложение.

Специалисты по кибербезопасности в конце марта обнаружили, что 3CX был скомпрометирован вредоносным кодом в настольном приложении для Windows и macOS. Мошеннический код позволял злоумышленникам загружать и запускать произвольный код на всех машинах, на которых было установлено программное обеспечение.

Киберэксперты также обнаружили, что скомпрометированное программное обеспечение 3CX использовалось для атаки на цепочку поставок. Lazarus Group использовала внешних злоумышленников для распространения дополнительного вредоносного ПО среди конкретных клиентов 3CX.

CrowdStrike 29 марта сообщила, что за атакой стоит Labyrinth Chollima, кодовое название компании Lazarus, но, согласно блогу ESET, не представила никаких доказательств, подтверждающих это утверждение. Из-за серьезности инцидента несколько охранных компаний начали публиковать собственные сводки событий.

Злоумышленники операции DreamJob находят цели через LinkedIn и соблазняют их предложениями работы от высокотехнологичных промышленных компаний. Группа хакеров теперь может атаковать все основные настольные операционные системы.

Тактика и инструменты Раскройте цель

Киберпреступники запускают свои кампании с запланированной целью. Инструменты, которые они используют, могут помочь агентам по безопасности распознать детали этой цели, считает Зейн Бонд, руководитель отдела продуктов компании Keeper Security, занимающейся разработкой программного обеспечения для кибербезопасности.

Большинство кампаний против широкой публики представляют собой кибератаки с широкой сетью, низкой степенью достоверности и низкой частотой кликов. Идея состоит в том, что если злоумышленник отправит сто миллионов электронных писем и заставит одного из миллиона получателей нажать на него, злоумышленник все равно получит сотню жертв, объяснил он.

«Если полезная нагрузка отправляется неизвестному количеству пользователей, операционная система с наибольшим шансом на успех — это Windows с большим отрывом», — сказал он LinuxInsider.

Когда злоумышленник начинает создавать фишинговые полезные нагрузки для Mac и еще менее распространенного Linux, мы можем предположить, что злоумышленник занимается целевым фишингом или отправляет вредоносное электронное письмо предварительно выбранным и, вероятно, важным целям.

«Когда системы Linux подвергаются атакам, целями почти исключительно являются серверы и облако. В этих случаях злоумышленник знает, на кого нацелиться для доступа, и может адаптировать обмен сообщениями и меры социальной инженерии для этой конкретной жертвы», — сказал он.

Атаки на Linux показывают смещение фокуса

Наличие вредоносного ПО для Linux в арсенале злоумышленников отражает то, как хакеры сместили свое внимание, включив в него использование уязвимых устройств IoT и операционных технологий (OT). Эти типы атак существуют в гораздо большем масштабе, чем ИТ-системы, и часто управление ими не требует такого же внимания к кибербезопасности, как ИТ-устройства, — считает Бад Брумхед, генеральный директор компании Viakoo, занимающейся автоматизированной кибергигиеной IoT.

«Устройства IoT/OT — это функционально киберфизические системы, в работе которых есть физический элемент, такой как регулировка клапанов, открытие дверей, захват видео», — сказал он LinuxInsider.

По сути, эти устройства являются глазами, ушами и руками организации. Брумхед добавил, что субъекты угроз, представляющие национальные государства, в частности, стремятся заразить и закрепиться в инфраструктуре кибер-физических систем из-за их способности нарушить работу и сбить с толку своих жертв.

Основные средства защиты от кибербезопасности для любой ОС

По словам Бонда, независимо от того, какую операционную систему используют потенциальные кибер-мишени, применяются одни и те же базовые меры защиты: не делайте рискованных кликов, исправьте свои системы и используйте менеджер паролей.

Эти три простые меры предотвратят большинство кибератак. Вредоносное ПО с нулевым кликом обычно легко обнаруживается и исправляется.

Пока ваша система обновлена, вы должны быть в безопасности, заверил он. Чтобы предотвратить стандартное вредоносное ПО, требующее вмешательства пользователя, избегайте рискованных кликов.

«Наконец, автозаполнение менеджера паролей сможет идентифицировать мелкие, но легко упускаемые детали, такие как SSL-сертификаты, междоменные iframe и поддельные веб-сайты», — предположил он.