ESET ontdekt nieuwe Lazarus Dreamjob campagne gelinkt aan aanval op 3CX

Vanaf het ZIP-bestand, dat zogenaamd een baanaanbod was bij HSBC levert, als lokmiddel, tot de uiteindelijke payload: de SimplexTea Linux backdoor, verspreid via een OpenDrive cloud storage-account. Het is de eerste keer dat deze grote Noord-Koreaanse dreigingsactor Linux-malware gebruikt als onderdeel van deze operatie. De gevonden overeenkomsten met deze nieuw ontdekte Linux-malware bevestigen de theorie dat de beruchte Noord-Koreaanse groep achter de supply chain-aanval op 3CX zit.

“Deze laatste ontdekking levert bevestigend bewijs en versterkt ons hoge niveau van vertrouwen, dat de recente 3CX supply-chain aanval in feite werd uitgevoerd door Lazarus. Deze connectie werd vanaf het begin vermoed en is sindsdien door verschillende beveiligingsonderzoekers aangetoond,” zegt ESET-onderzoeker Peter Kálnai, die de activiteiten van Lazarus onderzoekt.

3CX is een internationale VoIP-softwareontwikkelaar en -distributeur die telefoonsysteemdiensten levert aan vele organisaties. Volgens zijn website heeft 3CX meer dan 600.000 klanten en 12 miljoen gebruikers in verschillende sectoren, waaronder luchtvaart, gezondheidszorg en horeca. Het levert software om zijn systemen te gebruiken via een webbrowser, mobiele app of een desktopapplicatie. Eind maart 2023 werd ontdekt dat de 3CX-desktopapplicatie voor zowel Windows, als macOS kwaadaardige code bevatte. Hiermee kon een groep aanvallers willekeurige code downloaden en uitvoeren op alle machines waarop de applicatie was geïnstalleerd. 3CX zelf was gecompromitteerd en haar software werd gebruikt in een supply chain-aanval, aangestuurd door externe dreigingsactoren, om aanvullende malware te verspreiden onder specifieke 3CX-klanten.

De daders hadden de aanvallen al lange tijd voor de uitvoering gepland (namelijk al in december 2022). Dit suggereert dat ze eind vorig jaar al voet aan de grond hadden binnen het netwerk van 3CX. Enkele dagen voordat de aanval openbaar werd gemaakt, werd een mysterieuze Linux downloader ingediend bij VirusTotal. Deze downloadt een nieuwe Lazarus backdoor voor Linux SimplexTea, die verbinding maakt met dezelfde Command & Control server als de payloads die betrokken waren bij de 3CX compromis.

“Deze gecompromitteerde software, ingezet op verschillende IT-infrastructuren, maakt het downloaden en uitvoeren van elk soort payload mogelijk, wat verwoestende gevolgen kan hebben. De sluwheid van een supply chain-aanval maakt deze methode om malware te verspreiden zeer aantrekkelijk vanuit het perspectief van een aanvaller, en Lazarus heeft deze techniek in het verleden al gebruikt,” legt Kálnai uit. “Het is ook interessant om op te merken dat Lazarus native malware kan producten en gebruiken voor alle belangrijke desktop-besturingssystemen: Windows, macOS en Linux,” voegt Marc-Etienne M.Léveillé, ESET-onderzoeker die het onderzoek ondersteunde, toe.

Operation DreamJob is de naam voor een reeks campagnes waarbij Lazarus social engineering-technieken gebruikt om zijn doelwitten te compromitteren, met valse baanaanbiedingen als lokmiddel. Op 20 maart stuurde een gebruiker in Georgië een ZIP-archief genaamd HSBC job offer.pdf.zip naar VirusTotal. Gezien andere DreamJob-campagnes van Lazarus, werd deze payload waarschijnlijk verspreid via spearphishing of directe berichten op LinkedIn. Het archief bevat een enkel bestand: een native 64-bit Intel Linux binary geschreven in Go en genaamd HSBC job offer.pdf.

Voor meer technische informatie over de nieuwste Lazarus DreamJob-campagne en links naar de 3CX-aanval, bekijk de blogpost “Linux malware strengthens links between Lazarus and the 3CX supply-chain attack” op WeLiveSecurity.