ESET Research, yem olarak sahte bir HSBC iş teklifi sunan ZIP dosyasından son yüke kadar tüm zinciri yeniden oluşturmayı başardı: OpenDrive bulut depolama hesabı aracılığıyla dağıtılan SimplexTea Linux arka kapısı. Kuzey Kore bağlantılı bu büyük tehdit aktörü, operasyonun bir parçası olarak Linux kötü amaçlı yazılımını ilk kez kullanıyor. Bu yeni keşfedilen Linux kötü amaçlı yazılımıyla benzerlikler, 3CX tedarik zinciri saldırısının arkasında kötü bir üne sahip Kuzey Kore bağlantılı grubun olduğu teorisini destekliyor.

Lazarus etkinliklerini araştıran ESET araştırmacısı Peter Kálnai bu konuda şunları söyledi: “Bu keşif son 3CX tedarik zinciri saldırısının aslında Lazarus tarafından gerçekleştirildiğine dair inandırıcı kanıtlar sunuyor. Baştan beri bu durumdan şüpheleniliyor ve o zamandan beri birçok güvenlik araştırmacısı tarafından buna dikkat çekiliyordu.” 

3CX, birçok kuruluşa telefon sistemi hizmetleri sağlayan uluslararası bir VoIP yazılım geliştiricisi ve distribütörü. Web sitesine göre 3CX'in havacılık, sağlık ve konaklama dahil olmak üzere çeşitli sektörlerde 600.000'den fazla müşterisi ve 12 milyon kullanıcısı var. Sistemlerini bir web tarayıcısı, mobil uygulama veya bir masaüstü uygulaması aracılığıyla kullanmak için istemci yazılımı sunuyor. Mart 2023'ün sonlarında, hem Windows hem de macOS için masaüstü uygulamasının yüklendiği tüm makinelerde, bir grup saldırganın rastgele kod indirip çalıştırmasını sağlayan kötü amaçlı kod olduğu keşfedildi. Güvenliği ihlal edilen 3CX yazılımı, bazı 3CX müşterilerine ilave olarak kötü amaçlı yazılım dağıtmak için harici tehdit aktörleri tarafından gerçekleştirilen bir tedarik zinciri saldırısında kullanıldı.

Kötü amaçlı bu kişiler bu saldırıları Aralık 2022 gibi çok önceki bir tarihte planlamışlardı. Bu, geçen yılın sonlarında 3CX ağında bir yer edindiklerini gösteriyor. Saldırının halka açıklanmasından birkaç gün önce, VirusTotal'a gizemli bir Linux indirici gönderildi. Bu indirici, Linux için yeni bir Lazarus arka kapısı olan SimplexTea'yi indirerek 3CX saldırısındaki yüklerle aynı Komuta ve Kontrol sunucusuna bağlanıyor.

Kálnai durumu şöyle açıklıyor: “Çeşitli BT altyapılarına dağıtılan bu güvenliği ihlal edilmiş yazılım, yıkıcı etkileri olabilecek her türlü yükün indirilmesine ve yürütülmesine olanak tanır. Bir tedarik zinciri saldırısının gizliliği, bu kötü amaçlı yazılım dağıtma yöntemini bir saldırgan için oldukça çekici hale getiriyor ve Lazarus bu tekniği zaten daha önce kullanmıştı. 

DreamJob Operasyonu, Lazarus’un sahte cazip iş teklifleriyle hedef aldığı kişilerin bilgisayarlarına sızmak için sosyal mühendislik tekniklerini kullandığı bir dizi kampanyanın adı. 20 Mart'ta Gürcistan’daki bir kullanıcı VirusTotal'a HSBC job offer.pdf.zip adlı bir ZIP arşivi gönderdi. Lazarus'un diğer DreamJob kampanyaları göz önüne alındığında, bu yük muhtemelen hedefe yönelik kimlik avı veya LinkedIn'deki doğrudan mesajlar aracılığıyla dağıtıldı. Arşiv tek bir dosya içeriyor: Go'da yazılmış ve HSBC job offer․pdf adlı yerel bir 64 bit Intel Linux ikili dosyası.