ESET analistleri, Linux kullanıcılarını hedef alan yeni bir Lazarus Harekâtı olan DreamJob kampanyasını keşfetti
ESET analistleri, Kuzey Kore iletişimli tehdit oyuncuyu Lazarus ’un DreamJob ismi verilen kampanyasını keşfetti. ESET Research, Lazarus ’un Linux kullanıcılarına müteveccih sahte cazip iş önerileriyle hedef aldığı şahısların bilgisayarlarına sızmak için sosyal mühendislik tekniklerini kullandığı kampanya olan Dreamjob kampanyasını, 3CX telefon sistemi tedarik zinciri atağıyla ilişkilendirdi.
ESET Research, yem olarak sahte bir HSBC iş öneriyi sunan ZIP dosyasından son yüke kadar tüm zinciri yine oluşturmayı muvaffak oldu: OpenDrive bulut depolama hesabı aracılığıyla dağıtılan SimplexTea Linux arka kapısı. Kuzey Kore iletişimli bu büyük tehdit oyuncuyu, işlemin bir parçası olarak Linux makûs emelli yazılımını ilk defa kullanıyor. Bu yeni keşfedilen Linux makûs emelli yazılımıyla eşlikler, 3CX tedarik zinciri hücumunun artta makûs bir şöhrete sahip Kuzey Kore iletişimli grubun olduğu kuramını destekliyor.
Lazarus faalliklerini inceleyen ESET tahlilcisi Peter Kálnai bu mevzuda şunları söyledi: “Bu keşif son 3CX tedarik zinciri hücumunun gerçeğinde Lazarus tarafından hakikatleştirildiğine dair inandırıcı ispatlar sunuyor. Baştan beri bu vaziyetten şüpheleniliyor ve o zamandan beri bir hayli güvenlik tahlilcisi tarafından buna dikkat çekiliyordu.”
3CX, bir hayli kuruluşa telefon sistemi hizmetleri sağlayan beynelmilel bir VoIP yazılım geliştiricisi ve distribütörü. Web sitesine göre 3CX ’in havacılık, sağlık ve konaklama dahil olmak üzere muhtelif sektörlerde 600.000 ’den fazla alıcısı ve 12 milyon kullanıcısı var. Sistemlerini bir web tarayıcısı, mobil uygulama veya bir masaüstü uygulaması aracılığıyla kullanmak için istemci yazılımı sunuyor. Mart 2023 ’şöhret sonlarında, hem Windows hem de macOS için masaüstü uygulamasının yüklendiği tüm aygıtlarda, bir grup saldırganın gelişigüzel kod indirip çalıştırmasını sağlayan makûs emelli kod olduğu keşfedildi. Güvenliği ihlal edilen 3CX yazılımı, bazı 3CX alıcılarına ilave olarak makûs emelli yazılım dağıtmak için harici tehdit oyuncuları tarafından reelleştirilen bir tedarik zinciri atağında kullanıldı.
Makûs emelli bu şahıslar bu hücumları Aralık 2022 gibi çok evvelki bir tarihte tasarlamışlardı. Bu, geçen senenin sonlarında 3CX ağında bir yer edindiklerini gösteriyor. Atağın millete açıklanmasından birkaç gün evvel, VirusTotal ’a sırlı bir Linux indirici sevk edildi. Bu indirici, Linux için yeni bir Lazarus arka kapısı olan SimplexTea ’yi indirerek 3CX atağındaki yüklerle aynı Komuta ve Hakimiyet sunucusuna bağlanıyor.
Kálnai gidişatı şöyle açıklıyor: “Muhtelif BT altyapılarına dağıtılan bu güvenliği ihlal edilmiş yazılım, devirici tesirleri olabilecek her türlü yükün indirilmesine ve yürütülmesine imkân tanır. Bir tedarik zinciri hücumunun saklılığı, bu makûs emelli yazılım dağıtma usulünü bir saldırgan için oldukça çekici hale getiriyor ve Lazarus bu tekniği zati daha evvel kullanmıştı.
DreamJob Harekâtı, Lazarus ’un sahte cazip iş önerileriyle hedef aldığı şahısların bilgisayarlarına sızmak için sosyal mühendislik tekniklerini kullandığı bir dizi kampanyanın ismi. 20 Mart ’ta Gürcistan ’daki bir kullanıcı VirusTotal ’a HSBC job offer.pdf.zip isimli bir ZIP arşivi gönderdi. Lazarus ’un öbür DreamJob kampanyaları göz önüne alındığında, bu yük muhtemelen hedefe müteveccih kimlik avı veya LinkedIn ’deki doğrudan iletiler aracılığıyla dağıtıldı. Arşiv tek bir dosya kapsıyor: Go ’da yazılmış ve HSBC job offer․pdf isimli yerel bir 64 bit Intel Linux ikili dosyası.
Kaynak: BYZHA Beyaz Haber Ajansı
