(https://i.imgur.com/9HZfYcS.png)
El notorio actor patrocinado por el estado alineado con Corea del Norte conocido como Lazarus Group ha sido atribuido a una nueva campaña dirigida a los usuarios de Linux.
Los ataques son parte de una actividad persistente y de larga duración rastreada bajo el nombre de Operación Dream Job, dijo ESET en un nuevo informe publicado hoy.
Los hallazgos son cruciales, sobre todo porque marca el primer ejemplo documentado públicamente del adversario que usa malware de Linux como parte de este esquema de ingeniería social.
La Operación Dream Job, también conocida como DeathNote o NukeSped, se refiere a múltiples olas de ataques en las que el grupo aprovecha las ofertas de trabajo fraudulentas como señuelo para engañar a objetivos desprevenidos para que descarguen malware. También exhibe superposiciones con otros dos cúmulos de Lázaro conocidos como Operación In(ter)cepción y Operación Estrella del Norte.
La cadena de ataque descubierta por ESET no es diferente, ya que ofrece una oferta de trabajo falsa de HSBC como señuelo dentro de un archivo ZIP que luego se utiliza para lanzar una puerta trasera de Linux llamada SimplexTea distribuida a través de una cuenta de almacenamiento en la nube OpenDrive.
(https://i.imgur.com/FuvISty.png)
Si bien no se conoce el método exacto utilizado para distribuir el archivo ZIP, se sospecha que es spear-phishing o mensajes directos en LinkedIn. La puerta trasera, escrita en C ++, tiene similitudes con BADCALL, un troyano de Windows previamente atribuido al grupo.
Además, ESET dijo que identificó puntos en común entre los artefactos utilizados en la campaña Dream Job y los descubiertos como parte del ataque a la cadena de suministro contra el desarrollador de software VoIP 3CX que salió a la luz el mes pasado.
Esto también incluye el dominio de comando y control (C2) "journalide[.] org", que figuraba como uno de los cuatro servidores C2 utilizados por las familias de malware detectadas en el entorno 3CX.
Las indicaciones son que los preparativos para el ataque a la cadena de suministro habían estado en marcha desde diciembre de 2022, cuando algunos de los componentes se comprometieron con la plataforma de alojamiento de código GitHub.
Los hallazgos no solo fortalecen el vínculo existente entre Lazarus Group y el compromiso 3CX, sino que también demuestran el éxito continuo del actor de amenazas con la organización de ataques a la cadena de suministro desde 2020.
Fuente: https://thehackernews.com