Hacker norcoreanos están difundiendo malware para Linux a través de ofertas de trabajo falsas
Investigadores han descubierto una nueva campaña de Lazarus considerada parte de la “Operación DreamJob”. La campaña está dirigida a usuarios de Linux, difundiendo por primera vez malware para este sistema operativo.
Esta nueva orientación fue descubierta por los investigadores de ESET, quienes dicen que también ayuda a confirmar con gran confianza que Lazarus realizó el reciente ataque a la cadena de suministro contra el proveedor de VoIP 3CX.
El ataque fue descubierto en marzo de 2023, comprometiendo a varias empresas que usaban la versión infectada del cliente 3CX. La versión maliciosa contenía troyanos de robo de información.
Lazarus ya era sospechoso de ser el responsable del ataque, mientras que múltiples empresas de ciberseguridad coincidían con mucha confianza en que el atacante que troyanizó 3CX era de origen norcoreano.
Hoy, Mandiant publicó los resultados de su investigación sobre la violación de 3CX, vinculando aún más el ataque con los hackers de Corea del Norte.
Mandiant dice que el entorno de desarrollo de 3CX se vio comprometido después de que un empleado instaló un software comercial de Trading Technologies. Desafortunadamente, el instalador había sido troyanizado en otro ataque a la cadena de suministro de Corea del Norte.
“Sospechamos que hay una serie de organizaciones que aún no saben que están comprometidas”.
“Tenemos la esperanza de que una vez que obtengamos esta información, ayudará a acelerar el proceso para que las empresas determinen que están comprometidas y contengan sus incidentes”.
Charles Carmakal, CTO de Mandiant
Operación DreamJob en Linux
La Operación DreamJob de Lazarus, también conocida como Nukesped, es una operación en curso dirigida a personas que trabajan en software o plataformas DeFi con ofertas de trabajo falsas en LinkedIn u otras redes sociales y plataformas de comunicación.
Estos ataques de ingeniería social intentan engañar a las víctimas para que descarguen archivos maliciosos disfrazados de documentos que contienen detalles sobre el puesto ofrecido. Sin embargo, estos documentos instalan malware en la computadora de la víctima.
En el caso descubierto por ESET, Lazarus distribuye un archivo ZIP llamado “oferta de trabajo de HSBC.pdf.zip” a través de spearphishing o mensajes directos en LinkedIn.
Dentro del archivo se esconde un binario de Linux escrito en Go que usa un caracter Unicode en su nombre para que parezca un PDF.
“Curiosamente, la extensión del archivo no es .pdf. Esto se debe a que el caracter de punto aparente en el nombre del archivo es un punto líder representado por el caracter Unicode U+2024″.
“El uso del punto líder en el nombre del archivo probablemente fue un intento de engañar al administrador de archivos para que tratara el archivo como un ejecutable en lugar de un PDF”.
“Esto podría hacer que el archivo se ejecute al hacer doble clic en lugar de abrirlo con un visor de PDF”.
ESET
Activación del malware
Cuando el destinatario hace doble clic en el archivo para iniciarlo, el malware, conocido como “OdicLoader”, muestra un PDF de señuelo. Esto ocurre mientras se descarga simultáneamente un payload de malware de segunda etapa desde un repositorio privado alojado en el servicio en la nube OpenDrive.
El payload de la segunda etapa es una puerta trasera de C++ llamada “SimplexTea”, que se coloca en “~/.config/guiconfigd. SimplexTea“.
OdicLoader también modifica el ~/.bash_profile del usuario para garantizar que SimplexTea se inicie con Bash y su salida se silencie cada vez que el usuario inicie una nueva sesión de shell.
La conexión con 3CX
Tras el análisis de SimplexTea, ESET determinó que es muy similar en cuanto a funcionalidad, técnicas de cifrado e infraestructura codificada que se usa con el malware de Windows de Lazarus llamado “BadCall”, así como con la variante de macOS llamada “SimpleSea”.
Además, ESET encontró una variante anterior del malware SimplexTea en VirusTotal, llamada “sysnetd”. Esta variante también es similar a las puertas traseras mencionadas pero escrita en C.
Esa variante anterior carga su configuración desde un archivo llamado /tmp/vgauthsvclog, que es utilizado por el servicio de autenticación de invitados de VMware. Esto sugiere que el sistema de destino puede ser una máquina virtual Linux VMware.
Los analistas de ESET también descubrieron que la puerta trasera sysnetd utiliza una clave XOR previamente descubierta por la investigación de 3CX para ser utilizada por el malware SimpleSea.
“Echando un vistazo a los tres enteros de 32 bits, 0xC2B45678, 0x90ABCDEF y 0xFE268455 de la Figura 5, que representan una clave para una implementación personalizada del cifrado A5/1, nos dimos cuenta de que se usaba el mismo algoritmo y las mismas claves en Malware para Windows que data de finales de 2014 y estuvo involucrado en uno de los casos más notorios de Lazarus: el cibersabotaje a Sony Pictures Entertainment”.
ESET
La clave XOR entre los payloads SimplexTea y SimpleSea difiere; sin embargo, el archivo de configuración usa el mismo nombre, “apdl.cf“.
El cambio de Lazarus al malware de Linux y el ataque 3CX ilustra sus tácticas en constante evolución. En otras palabras, ahora son compatibles con todos los principales sistemas operativos, incluidos Windows y macOS.
Ataques exitosos
Ataques similares a “Operation DreamJob” de Lazarus han llevado a los atacantes a un enorme éxito, permitiéndoles robar $620 millones de Axie Infinity.
El FBI también confirmó que Lazarus estaba detrás del robo de criptomonedas de $100 millones del puente Harmony.
El reciente ataque a la cadena de suministro de Lazarus en 3CX marca otro éxito de alto perfil para la notoria pandilla cibernética.
