Исследователи ESET обнаружили новую кампанию Lazarus Operation DreamJob, направленную на пользователей Linux.
Operation DreamJob - это название серии кампаний, в которых группа использует методы социальной инженерии для компрометации своих целей, используя в качестве приманки поддельные предложения о работе. В данном случае нам удалось восстановить всю цепочку, начиная с ZIP-файла, в котором в качестве приманки было представлено поддельное предложение о работе от HSBC, и заканчивая конечной полезной нагрузкой: бэкдором SimplexTea Linux, распространяемым через аккаунт облачного хранилища OpenDrive. Насколько нам известно, это первое публичное упоминание о том, что этот крупный угрожающий субъект, связанный с Северной Кореей, использовал вредоносное ПО Linux в рамках этой операции.
Кроме того, это открытие помогло ESET с высокой степенью уверенности подтвердить, что недавняя атака на цепочку поставок 3CX на самом деле была проведена Lazarus - связь, которая подозревалась с самого начала и была продемонстрирована несколькими исследователями безопасности. В этом блоге мы подтверждаем эти выводы и предоставляем дополнительные доказательства связи между Lazarus и атакой на цепочку поставок 3CX.
Indicators of Compromise
IPv4
- 172.93.201.88
- 23.254.211.230
- 38.108.185.115
- 38.108.185.79
Domains
- journalide.org
- od.lk
URLs
- https://journalide.org/djour.php
- https://od.lk/d/NTJfMzg4MDE1NzJf/vxmedia
MD5
- 3cf7232e5185109321921046d039cf10
- aac5a52b939f3fe792726a13ff7a1747
- cedb9cdbad254f60cfb215b9bff84fb9
- fc41cb8425b6432af8403959bb59430d
SHA1
- 0ca1723afe261cd85b05c9ef424fc50290dce7df
- 3a63477a078ce10e53dfb5639e35d74f93cefa81
- 9d8bade2030c93d0a010aa57b90915eb7d99ec82
- f6760fb1f8b019af2304ea6410001b63a1809f1d
SHA256
- 492a643bd1efdaca4ca125ade1b606e7bbf00e995ac9115ac84d1c4c59cb66dd
- cc307cfb401d1ae616445e78b610ab72e1c7fb49b298ea003dd26ea80372089a
- eebb01932de0b5605dd460cc82844d8693c00ea8ab5ffdf8dbede6528c1c18fd
- f638e5a20114019ad066dd0e856f97fd865798d8fbed1766662d970beff652ca