Lazarus' "Operation DreamJob"-Kampagne zielt auf Linux-Anwender
ESET hat eine neue Lazarus-Kampagne als Teil der "Operation DreamJob" entdeckt. Dies ist der erste Fall von Malware, die es auf Linux-Benutzer abgesehen hat, und bestätigt die Beteiligung von Lazarus an dem jüngsten Angriff auf den VoIP-Anbieter 3CX.
Die "Operation DreamJob"-Kampagne von Lazarus, auch bekannt als Nukesped, ist eine fortlaufende Operation, die speziell auf Personen abzielt, die sich mit Software oder DeFi-Systemen beschäftigen. Bei diesem Social-Engineering-Angriff werden die Opfer mit gefälschten Jobangeboten auf professionellen Netzwerkseiten wie LinkedIn gelockt.
Die Angreifer erstellen gekonnt falsche Dokumente, die den Anschein erwecken, ausführliche Stellenbeschreibungen zu enthalten, in Wirklichkeit aber mit Malware versehene Dateien sind. Mehrere Unternehmen wurden infolge des Angriffs gehackt, weil sie eine trojanisierte Version des 3CX-Clients installiert hatten, was zum Einsatz von Trojanern führte, die Informationen stahlen.
Die ESET-Untersuchung des auf Linux ausgerichteten Angriffs von Lazarus ergab, dass der Bedrohungsakteur ein betrügerisches ZIP-Archiv mit dem Titel "HSBC job offer.pdf.zip" über Spearphishing oder Direktnachrichten auf LinkedIn verbreitet. In diesem Archiv ist eine in Go kodierte Linux-Binärdatei versteckt. Die böswilligen Akteure verwenden ein Unicode-Zeichen im Dateinamen und tarnen es als PDF, um ahnungslose Opfer zu täuschen. ESET erklärt, dass die Verwendung eines führenden Punktes, der durch das Unicode-Zeichen U+2024 im Dateinamen dargestellt wird, wahrscheinlich ein Versuch war, Dateimanager dazu zu bringen, die Datei als ausführbare Datei und nicht als PDF zu behandeln, so dass sie bei einem Doppelklick ausgeführt wird, anstatt mit einem PDF-Viewer geöffnet zu werden.
Nach dem Starten der Datei präsentiert die Malware mit dem Namen "OdicLoader" eine Täuschungs-PDF, um das Opfer abzulenken, während sie gleichzeitig den Download einer Malware-Nutzlast der zweiten Stufe aus einem privaten Repository initiiert, das auf dem Cloud-Dienst OpenDrive gehostet wird. Die Nutzlast der zweiten Stufe, eine C++-Backdoor mit dem Namen "SimplexTea", wird an dem Speicherort "~/.config/guiconfigd. SimplexTea" abgelegt. OdicLoader ändert auch das ~/.bash_profile des Benutzers, um sicherzustellen, dass SimplexTea mit der Bash ausgeführt wird, wobei die Ausgabe jedes Mal stummgeschaltet wird, wenn eine neue Shell-Sitzung gestartet wird.
Wenn die Malware mit dem Namen OdicLoader angeklickt wird, zeigt sie ein gefälschtes PDF an, während sie im Hintergrund eine Nutzlast herunterlädt, die nach einer weiteren Untersuchung durch ESET offenbar auf virtuelle Linux-VMware-Maschinen abzielt.
Zu den Quellen für diesen Beitrag gehört ein Artikel in WeLiveSecurity.