El notorio actor patrocinado por el estado alineado con Corea del Norte conocido como el Grupo Lázaro se ha atribuido a una nueva campaña dirigida a los usuarios de Linux.
Los ataques son parte de una actividad persistente y de larga duración rastreada bajo el nombre Operación trabajo de ensueñodijo ESET en un nuevo reporte publicado hoy.
Los hallazgos son cruciales, sobre todo porque marca el primer ejemplo documentado públicamente del adversario que usa malware de Linux como parte de este esquema de ingeniería social.
Operación trabajo de ensueño, también conocido como DeathNote o NukeSped, se refiere a múltiples oleadas de ataques en las que el grupo aprovecha ofertas de trabajo fraudulentas como señuelo para engañar a objetivos desprevenidos para que descarguen malware. También exhibe superposiciones con otros dos cúmulos de Lazarus conocidos como Operation In(ter)ception y Operation North Star.
La cadena de ataque descubierta por ESET no es diferente, ya que ofrece una oferta de trabajo falsa de HSBC como señuelo dentro de un archivo ZIP que luego se usa para lanzar una puerta trasera de Linux llamada SimplexTea distribuida a través de una cuenta de almacenamiento en la nube de OpenDrive.
Si bien se desconoce el método exacto utilizado para distribuir el archivo ZIP, se sospecha que se trata de phishing o mensajes directos en LinkedIn. La puerta trasera, escrita en C++, tiene similitudes con UNA MALA LLAMADAun troyano de Windows previamente atribuido al grupo.
Además, ESET dijo que identificó puntos en común entre los artefactos utilizados en la campaña Dream Job y los desenterrados como parte de la ataque a la cadena de suministro sobre el desarrollador de software VoIP 3CX que salió a la luz el mes pasado.
Defiéndase con el engaño: avanzando en la seguridad de confianza cero
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
Esto también incluye el dominio de comando y control (C2) «journalide[.]org», que fue catalogado como uno de los cuatro servidores C2 utilizados por las familias de malware detectadas dentro del entorno 3CX.
Las indicaciones son que los preparativos para el ataque a la cadena de suministro habían estado en marcha desde diciembre de 2022, cuando algunos de los componentes se comprometieron con la plataforma de alojamiento de código GitHub.
Los hallazgos no solo fortalecen el vínculo existente entre Lazarus Group y el compromiso de 3CX, sino que también demuestran el éxito continuo del actor de amenazas al realizar ataques a la cadena de suministro desde 2020.