Компания ESET ― лидер в области информационной безопасности ― обнаружила новую вредоносную активность группы киберпреступников Lazarus, нацеленную на пользователей Linux. Специалистам ESET удалось исследовать полную цепочку атаки от ZIP-файла с поддельным предложением о работе до бекдора SimplexTea, который распространялся через учетную запись облачного хранилища OpenDrive.
Для заражения своих целей киберпреступники используют методы социальной инженерии, в частности, как приманку применяя фальшивые предложения работы. Это впервые, когда эта группа злоумышленников, связанная с Северной Кореей, использует вредоносное программное обеспечение для Linux во время своих атак. Сходство этого бекдора позволяет утверждать о причастности Lazarus к известной атаке на цепь поставок, направленной на компанию 3CX.
«Это последнее открытие дает доказательства и укрепляет нашу уверенность в том, что недавнюю атаку на цепь поставок 3CX на самом деле осуществила группа Lazarus — связь атаки с ними подозревали с самого начала и продемонстрировали несколько исследователей», — рассказывает Питер Калнаи, исследователь ESET.
Компания 3CX — это международный разработчик и дистрибьютор программного обеспечения для VoIP, предоставляющий услуги телефонной системы многим организациям. Согласно веб-сайту 3CX имеет более 600 000 клиентов и 12 миллионов пользователей в разных секторах, включая аэрокосмическую сферу, здравоохранение и гостиничный бизнес. Компания предоставляет программное обеспечение для использования своих систем через браузер, приложения для мобильных устройств и компьютеров.
В конце марта 2023 года было обнаружено, что программа 3CХ как для компьютеров Windows, так и для macOS содержала вредоносный код, который позволял злоумышленникам загружать и запускать произвольный код на всех устройствах с установленным приложением. То есть сама 3CX была скомпрометирована, а ее программное обеспечение было использовано в атаке на цепь поставок для распространения дополнительных вредоносных программ среди определенных клиентов 3CX.
Злоумышленники планировали атаку задолго до исполнения ― еще в декабре 2022 года. Это говорит о том, что они уже смогли проникнуть в сети 3CX в конце прошлого года. За несколько дней до публичного обнаружения атаки загрузчик Linux был отправлен в VirusTotal. Этот компонент загружает новый бэкдор для Linux с названием SimplexTea, который подключается к тому же командному серверу, что и компоненты, использованные при компрометации 3CX.
«Это скомпрометированное программное обеспечение, развернутое в различных ИТ-инфраструктурах, позволяет загружать и выполнять любой тип компонентов, что может привести к разрушительным последствиям. Скрытность атаки на цепь поставок делает этот метод распространения вредоносного программного обеспечения очень привлекательным для злоумышленников, и группа Lazarus уже использовала эту технику в прошлом, — объясняет исследователь ESET. — Также интересно отметить, что Lazarus может создавать и использовать собственное вредоносное программное обеспечение для всех основных операционных систем: Windows, macOS и Linux».
В связи с опасностью атак специалисты ESET рекомендуют придерживаться основных правил кибербезопасности, в частности не открывать неизвестных писем и документов, использовать сложные пароли и двухфакторную аутентификацию, вовремя обновлять программное обеспечение, а также обеспечить надежную защиту домашних устройств и корпоративной сети.