Teknoloji

İş teklifinde siber saldırı

ESET araştırmacıları, Linux kullanıcılarını hedefleyen yeni bir Lazarus Operasyonu olan DreamJob kampanyasını keşfetti

ESET araştırmacıları, Kuzey Kore bağlantılı tehdit aktörü Lazarus’un DreamJob adlı kampanyasını keşfetti. ESET Araştırması, Lazarus’un Linux kullanıcıları için cazip sahte iş teklifleriyle bireylerin bilgisayarlarına sızmak için sosyal mühendislik tekniklerini kullandığı bir kampanya olan Dreamjob’u rapor ediyor.  kampanyasını 3CX telefon sistemi tedarik zinciri saldırısına bağladı.

ESET Research, ZIP belgesinden, geçersiz bir HSBC iş teklifini yem olarak sunan nihai yüke kadar tüm zinciri yeniden oluşturmayı başardı: OpenDrive bulut depolama hesabı aracılığıyla dağıtılan SimplexTea Linux arka kapısı. Kuzey Kore ile bağlantı kuran bu büyük tehdit aktörü, operasyonun bir parçası olarak ilk kez Linux kötü amaçlı kötü amaçlı yazılım kullanıyor. Bu yeni keşfedilen kötü amaçlı Linux kötü amaçlı yazılımıyla benzerlikler, kötü şöhretli Kuzey Kore iletişim kümesinin 3CX tedarik zinciri saldırısının arkasında olduğu teorisini destekliyor.

Lazarus faaliyetlerini araştıran bir ESET araştırmacısı olan Peter Kálnai şunları söyledi: “Bu keşif, en son 3CX tedarik zinciri saldırısının aslında Lazarus tarafından gerçekleştirildiğine dair ikna edici kanıtlar sağlıyor. Bu, başından beri şüphelenildi ve o zamandan beri birçok güvenlik araştırmacısı tarafından işaret edildi.”

3CX, birçok kuruluşa telefon hizmetleri sağlayan uluslararası bir VoIP yazılım geliştiricisi ve distribütörüdür. Web sitesine göre 3CX’in havacılık, sağlık ve konaklama dahil olmak üzere çeşitli sektörlerde 600.000’den fazla müşterisi ve 12 milyon kullanıcısı var. Sistemlerini bir web tarayıcısı, taşınabilir uygulama veya bir masaüstü uygulaması aracılığıyla kullanmak için istemci yazılımı sunar. Mart 2023’ün sonlarında, hem Windows hem de macOS için masaüstü uygulamasının yüklü olduğu tüm makinelerde, bir grup saldırganın rasgele kod indirip çalıştırmasına izin veren kötü niyetli hedef kodlara sahip olduğu keşfedildi. Güvenliği ihlal edilmiş 3CX yazılımı, bazı 3CX müşterilerine ek olarak kötü amaçlı kötü amaçlı yazılım dağıtmak için harici tehdit aktörleri tarafından bir tedarik zinciri saldırısında kullanıldı.

Bu kötü niyetli kişiler, bu saldırıları Aralık 2022’den çok önce planlamışlardı. Bu, geçen yılın sonlarında 3CX ağında bir yer edindiklerini gösteriyor. Saldırının halka duyurulmasından birkaç gün önce, VirusTotal’a gizemli bir Linux indiricisi gönderildi. Bu indirici, Linux için yeni bir Lazarus arka kapısı olan ve 3CX saldırısından gelen yüklerle doğrudan Komuta ve Kontrol sunucusuna bağlanan SimplexTea’yı indirir.

Kálnai şöyle açıklıyor: “Çeşitli BT altyapılarına dağıtılan bu güvenliği ihlal edilmiş yazılım, yıkıcı etkileri olabilecek herhangi bir yükün indirilmesine ve yürütülmesine izin veriyor. Bir tedarik zinciri saldırısının kapatılması, kötü amaçlı yazılım dağıtmanın bu kötü yolunu bir saldırgan için oldukça çekici hale getiriyor ve Lazarus aslında bu tekniği daha önce kullanmıştı.

DreamJob Operasyonu, Lazarus’un sahte iş teklifleriyle hedeflenen bireylerin bilgisayarlarına sızmak için sosyal mühendislik tekniklerini kullandığı bir dizi kampanyanın adıdır. 20 Mart’ta Gürcistan’daki bir kullanıcı VirusTotal’a HSBC job Offer.pdf.zip adlı bir ZIP arşivi gönderdi. Lazarus’un diğer DreamJob kampanyaları göz önüne alındığında, bu yük muhtemelen hedeflenen kimlik avı veya LinkedIn’deki doğrudan gönderiler aracılığıyla dağıtılmıştır. Arşiv yalnızca bir belge içerir: HSBC iş teklifi․pdf adlı, Go’da yazılmış yerel bir 64-bit Intel Linux ikili dosyası.

 

Kaynak: (BYZHA) Beyaz Haber Ajansı

islahiyeajans.com.tr

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu