Hakerska grupa koji sponzoriše Sjeverna Koreja, poznata kao Lazarus Group, označena je kao kreator nove kampanje usmjerene na korisnike Linux-a.
Napadi su dio uporne i dugotrajne aktivnosti praćene pod nazivom Operation Dream Job, navodi ESET u novom izvještaju objavljenom danas.
Nalazi su ključni i označavaju prvi javno dokumentovani primjer da se koristi Linux malver kao dio ove šeme društvenog inženjeringa.
Operacija Dream Job, takođe poznata kao DeathNote ili NukeSped, odnosi se na višestruke talase napada u kojima grupa koristi lažne ponude za posao kao mamac da prevari nesuđene mete da preuzmu maliciozni softver. Takođe pokazuje preklapanje sa dva druga Lazarus-ova klastera poznata kao Operation In(ter)ception i Operation North Star.
Lanac napada koji je otkrio ESET ne razlikuje se po tome što isporučuje lažnu ponudu za posao HSBC-a kao mamac unutar ZIP arhivske datoteke koja se zatim koristi za pokretanje Linux backdoor-a pod nazivom SimplexTea koji se distribuiše preko OpenDrive računa za pohranu u Cloud-u.
Iako nije poznat tačan metod koji se koristi za distribuciju ZIP datoteke, sumnja se da se radi o krađi identiteta ili direktnim porukama na LinkedIn-u. Backdoor, napisan u C++, ima sličnosti sa BADCALL, Windows trojancem koji je prethodno pripisan grupi.
Nadalje, ESET je rekao da je identifikovao zajedničke stvari između artefakata korištenih u kampanji Dream Job i onih otkrivenih u sklopu napada lanca nabavke na VoIP softverskog programera 3CX koji je izašao na vidjelo prošlog mjeseca.
Ovo takođe uključuje komandno-kontrolni (C2) domen “journalide[.]org”, koji je naveden kao jedan od četiri C2 servera koje koriste porodice malvera otkrivenih u 3CX okruženju.
Indikacije su da su pripreme za napad na lanac snabdjevanja u toku od decembra 2022. godine, kada su neke od komponenti bile posvećene GitHub platformi za hostovanje koda.
Nalazi ne samo da jačaju postojeću vezu između Lazarus grupe i 3CX kompromisa, već i pokazuju kontinuirani uspjeh hakera u sceniranju napada na lanac nabavke od 2020. godine.
Izvor: The Hacker News