Investigadores han descubierto una nueva campaña de Lazarus considerada parte de la “Operación DreamJob”. La campaña está dirigida a usuarios de Linux, difundiendo por primera vez malware para este sistema operativo. 

Esta nueva orientación fue descubierta por los investigadores de ESET, quienes dicen que también ayuda a confirmar con gran confianza que Lazarus realizó el reciente  ataque a la cadena de suministro  contra el proveedor de VoIP 3CX.

El ataque fue descubierto en marzo de 2023, comprometiendo a varias empresas que usaban la versión infectada del cliente 3CX. La versión maliciosa contenía troyanos de robo de información.

Lazarus ya era  sospechoso  de ser el responsable del ataque, mientras que múltiples empresas de ciberseguridad coincidían con mucha confianza en que el atacante que troyanizó 3CX era de origen norcoreano.

Hoy, Mandiant publicó los  resultados de su investigación  sobre la violación de 3CX, vinculando aún más el ataque con los hackers de Corea del Norte.

Mandiant dice que el entorno de desarrollo de 3CX se vio comprometido después de que un empleado instaló un software comercial de Trading Technologies. Desafortunadamente, el instalador había sido troyanizado en otro ataque a la cadena de suministro de Corea del Norte.

“Sospechamos que hay una serie de organizaciones que aún no saben que están comprometidas”. 

“Tenemos la esperanza de que una vez que obtengamos esta información, ayudará a acelerar el proceso para que las empresas determinen que están comprometidas y contengan sus incidentes”.

Charles Carmakal, CTO de Mandiant

Operación DreamJob en Linux

La Operación DreamJob de Lazarus, también conocida como Nukesped, es una operación en curso dirigida a personas que trabajan en software o  plataformas DeFi  con ofertas de trabajo falsas en LinkedIn u otras redes sociales y plataformas de comunicación.

Estos ataques de ingeniería social intentan engañar a las víctimas para que descarguen archivos maliciosos disfrazados de documentos que contienen detalles sobre el puesto ofrecido. Sin embargo, estos documentos instalan malware en la computadora de la víctima.

En el caso descubierto por ESET, Lazarus distribuye un archivo ZIP llamado “oferta de trabajo de HSBC.pdf.zip” a través de spearphishing o mensajes directos en LinkedIn.

Dentro del archivo se esconde un binario de Linux escrito en Go que usa un caracter Unicode en su nombre para que parezca un PDF.

“Curiosamente, la extensión del archivo no es .pdf. Esto se debe a que el caracter de punto aparente en el nombre del archivo es un  punto líder  representado por el caracter Unicode U+2024″.  

“El uso del punto líder en el nombre del archivo probablemente fue un intento de engañar al administrador de archivos para que tratara el archivo como un ejecutable en lugar de un PDF”.

“Esto podría hacer que el archivo se ejecute al hacer doble clic en lugar de abrirlo con un visor de PDF”.

ESET

Activación del malware

Cuando el destinatario hace doble clic en el archivo para iniciarlo, el malware, conocido como “OdicLoader”, muestra un PDF de señuelo. Esto ocurre mientras se descarga simultáneamente un payload de malware de segunda etapa desde un repositorio privado alojado en el servicio en la nube OpenDrive.

1682058159 339 Hacker norcoreanos estan difundiendo malware para Linux a traves de.webp ITB BARQUISIMETO 02/12/2024
El PDF señuelo mostrado al objetivo

El payload de la segunda etapa es una puerta trasera de C++ llamada “SimplexTea”, que se coloca en “~/.config/guiconfigd. SimplexTea“.

OdicLoader también modifica el ~/.bash_profile del usuario para garantizar que SimplexTea se inicie con Bash y su salida se silencie cada vez que el usuario inicie una nueva sesión de shell.

1682058160 922 Hacker norcoreanos estan difundiendo malware para Linux a traves de.webp ITB BARQUISIMETO 02/12/2024
La última cadena de ataques de Lazarus contra objetivos Linux  

La conexión con 3CX

Tras el análisis de SimplexTea, ESET determinó que es muy similar en cuanto a funcionalidad, técnicas de cifrado e infraestructura codificada que se usa con el malware de Windows de Lazarus llamado “BadCall”, así como con la variante de macOS llamada “SimpleSea”.

Además, ESET encontró una variante anterior del malware SimplexTea en VirusTotal, llamada “sysnetd”. Esta variante también es similar a las puertas traseras mencionadas pero escrita en C.

1682058161 365 Hacker norcoreanos estan difundiendo malware para Linux a traves de.webp ITB BARQUISIMETO 02/12/2024
Dominios utilizados para conexiones TLS falsas (izquierda: BadCall, derecha: sysnetd)

Esa variante anterior carga su configuración desde un archivo llamado /tmp/vgauthsvclog, que es utilizado por el servicio de autenticación de invitados de VMware. Esto sugiere que el sistema de destino puede ser una máquina virtual Linux VMware.

Los analistas de ESET también descubrieron que la puerta trasera sysnetd utiliza una clave XOR previamente descubierta por la investigación de 3CX para ser utilizada por el malware SimpleSea.

“Echando un vistazo a los tres enteros de 32 bits, 0xC2B45678, 0x90ABCDEF y 0xFE268455 de la Figura 5, que representan una clave para una implementación personalizada del cifrado A5/1, nos dimos cuenta de que se usaba el mismo algoritmo y las mismas claves en Malware para Windows que data de finales de 2014 y estuvo involucrado en uno de los casos más notorios de Lazarus: el cibersabotaje a Sony Pictures Entertainment”. 

ESET

La clave XOR entre los payloads SimplexTea y SimpleSea difiere; sin embargo, el archivo de configuración usa el mismo nombre, “apdl.cf“.

El cambio de Lazarus al malware de Linux y el ataque 3CX ilustra sus tácticas en constante evolución. En otras palabras, ahora son compatibles con todos los principales sistemas operativos, incluidos Windows y macOS.

Ataques exitosos

Ataques similares a “Operation DreamJob” de Lazarus han llevado a los atacantes a un enorme éxito, permitiéndoles robar $620 millones de Axie Infinity.

El FBI también confirmó que Lazarus estaba detrás del robo de criptomonedas de $100 millones del puente Harmony.

El reciente ataque a la cadena de suministro de Lazarus en 3CX marca otro éxito de alto perfil para la notoria pandilla cibernética.



Noticia Confirmada

Leer más aquí


0 comentarios

Deja una respuesta

Marcador de posición del avatar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información básica sobre protección de datos Ver más

  • Responsable: ITB BARQUISIMETO.
  • Finalidad:  Moderar los comentarios.
  • Legitimación:  Por consentimiento del interesado.
  • Destinatarios y encargados de tratamiento: No se ceden o comunican datos a terceros para prestar este servicio.
  • Derechos: Acceder, rectificar y suprimir los datos.
  • Información Adicional: Puede consultar la información detallada en la Política de Privacidad.