Linux Malware als Beweis: Hackergruppe Lazarus steckt hinter der 3 CX #Supply #Chain #Attacke

Jena, 20. April 2023

Mit der Operation #Dream #Job greift die APT (Advanced Persistent Threat) Gruppe Lazarus erstmals auch gezielt #Linux #Nutzer an. Prominentestes Opfer ist der #VOIP #Software Entwickler 3 CX. Die #Forscher des IT Sicherheitsherstellers #ESET konnten den kompletten Ablauf der Operation rekonstruieren und so nachweisen, dass die mit Nordkorea verbündeten #Hacker hinter den sogenannten Supply Chain Angriffen (»Lieferkettenangriff«) stecken. Das #Unheil nimmt mit einem gefälschten Jobangebot als Zip Datei seinen hinterhältigen Lauf und endet mit der #Schadsoftware Simplex Tea. Die Linux #Backdoor wird über ein #Open #Drive #Konto verteilt. Ihre Ergebnisse veröffentlichten die ESET Forscher auf We Live #Security.

»Nach unseren jüngsten Entdeckungen haben wir weitere stichhaltige Beweise gefunden, dass die Lazarus-Gruppe hinter dem Supply Chain Angriff auf 3 CX steckt. Diese Verbindung wurde von Anfang an vermutet und seitdem von mehreren Sicherheitsforschern nachgewiesen«, sagt ESET Forscher Peter Kálnai. »Diese kompromittierte #Software, die in verschiedenen IT Infrastrukturen eingesetzt wird, ermöglicht das #Herunterladen und Ausführen jeglicher Art von Nutzdaten, die verheerende Auswirkungen haben können. Die Heimlichkeit eines Supply Chain Angriffs macht diese Methode der #Malware Verbreitung aus Sicht der Angreifer sehr attraktiv. Lazarus hat diese Technik bereits in der Vergangenheit eingesetzt«, erklärt Kálnai. »Interessant ist auch, dass Lazarus native Malware für alle wichtigen #Desktop Betriebssysteme produzieren und nutzen kann: Windows, Mac OS und Linux.«

Vermeintliches Jobangebot

Operation Dream Job ist der Name für eine Reihe von Kampagnen, bei denen Lazarus #Social #Engineering Techniken einsetzt, um seine Ziele zu kompromittieren. Dabei dienen gefälschte Jobangebote als Köder. Am 20. März 2023 übermittelte ein Benutzer in Georgien ein #ZIP #Archiv mit dem Namen »HSBC job offer.pdf.zip« an #Virus #Total. Angesichts anderer Dream Job Kampagnen von Lazarus wurde dieses Schadprogramm wahrscheinlich über #Spearphishing oder Direktnachrichten auf #Linkedin verbreitet. Das Archiv enthält eine einzige Datei: eine native 64 Bit Intel Linux Binärdatei, die in Go geschrieben wurde und »HSBC job offer․pdf« heißt.

Die Täter hatten die Angriffe lange vor der Ausführung geplant – bereits im Dezember 2022. Dies lässt darauf schließen, dass sie bereits Ende vergangenen Jahres im Netzwerk von 3 CX Fuß gefasst hatten. Einige Tage vor dem Bekanntwerden des Angriffs wurde ein mysteriöser Linux #Downloader bei Virus Total eingereicht. Er lädt eine neue Lazarus #Backdoor für #Linux namens Simplex Tea herunter, die eine Verbindung zu demselben #Command and #Control #Server herstellt wie die Payloads, die beim 3 CX Angriff verwendet wurden.

Was ist ein Supply Chain Angriff?

Supply Chain Angriffe stehen bei Hackern hoch im Kurs. Der Begriff beschreibt Angriffsszenarien, bei denen Cyberkriminelle in den Herstellungsprozess oder Entwicklungszyklus einer Software eingreifen oder ihn übernehmen. So erhalten #Endverbraucher eines Produkts unter Umständen manipulierte Updates für die eingesetzte #Software.

Ãœber den Angriff auf 3 CX

3 CX ist ein internationaler #VOIP Software #Entwickler und #Distributor, der vielen Unternehmen Telefonsystemdienste anbietet. Laut seiner Website hat 3 CX mehr als 600.000 Kunden und 12 Millionen Benutzer in verschiedenen Branchen, darunter #Luftfahrt und #Raumfahrt, Gesundheitswesen und #Gastgewerbe. Das Unternehmen bietet #Client Software zur Nutzung seiner Systeme über einen Webbrowser, eine mobile #App oder #Desktop Anwendung an. Ende März 2023 wurde entdeckt, dass die Desktop Anwendung sowohl für Windows als auch für #Mac #OS bösartigen Code enthielt. Dieser ermöglichte es Angreifern, beliebigen Code auf alle #Rechner herunterzuladen und auszuführen, auf denen die Anwendung installiert war. 3 CX selbst wurde kompromittiert und dessen #Software in einem Supply Chain Angriff verwendet, um zusätzliche #Malware an bestimmte 3 CX Kunden zu verteilen.

  • Der aktuelle Artikel ist auf We Live Security verfügbar, mehr …