Компанія ESET виявила нову шкідливу активність групи кіберзлочинців Lazarus, націлену на користувачів Linux. Спеціалістам ESET вдалося дослідити повний ланцюжок атаки ― від ZIP-файлу з підробленою пропозицією про роботу до бекдора SimplexTea, який поширювався через обліковий запис хмарного сховища OpenDrive.

Для інфікування своїх цілей кіберзлочинці використовують методи соціальної інженерії, зокрема як приманку застосовуючи фальшиві пропозиції роботи. Це вперше, коли ця група зловмисників, пов’язана з Північною Кореєю, використовує шкідливе програмне забезпечення для Linux під час своїх атак. Подібність цього бекдора дозволяє стверджувати про причетність Lazarus до відомої атаки на ланцюг постачання, спрямованої на компанію 3CX.

«Це останнє відкриття надає докази та зміцнює нашу впевненість в тому, що нещодавню атаку на ланцюг постачання 3CX насправді здійснила група Lazarus — зв’язок атаки з ними, підозрювали з самого початку та продемонстрували кілька дослідників», — розповідає Пітер Калнаї, дослідник ESET.

Компанія 3CX — це міжнародний розробник і дистриб’ютор програмного забезпечення для VoIP, який надає послуги телефонної системи багатьом організаціям. Компанія надає програмне забезпечення для використання своїх систем через браузер, додатки для мобільних пристроїв та комп’ютерів.

Наприкінці березня 2023 року було виявлено, що програма 3CХ як для комп’ютерів Windows, так і для macOS містила шкідливий код, який дозволяв зловмисникам завантажувати та запускати довільний код на всіх пристроях зі встановленим додатком. Тобто сама 3CX була скомпрометована, а її програмне забезпечення було використано в атаці на ланцюг постачання з метою поширення додаткових шкідливих програм серед певних клієнтів 3CX.

Зловмисники планували атаку задовго до виконання ― ще в грудні 2022 року. Це свідчить про те, що вони вже змогли проникнути в мережі 3CX наприкінці минулого року. За кілька днів до публічного виявлення атаки завантажувач Linux був надісланий у VirusTotal. Цей компонент завантажує новий бекдор для Linux з назвою SimplexTea, який підключається до того самого командного сервера, що й компоненти, використані під час компрометації 3CX.

«Це скомпрометоване програмне забезпечення, розгорнуте в різних ІТ-інфраструктурах, дозволяє завантажувати та виконувати будь-який тип компонентів, що може мати руйнівні наслідки. Прихованість атаки на ланцюг постачання робить цей метод розповсюдження шкідливого програмного забезпечення дуже привабливим для зловмисників, і група Lazarus уже використовувала цю техніку в минулому, — пояснює дослідник ESET. — Також цікаво відзначити, що Lazarus може створювати та використовувати власне шкідливе програмне забезпечення для всіх основних операційних систем: Windows, macOS і Linux».

У зв’язку з небезпекою атак спеціалісти ESET рекомендують дотримуватися основних правил кібербезпеки, зокрема не відкривати невідомі листи та документи, використовувати складні паролі та двофакторну автентифікацію, вчасно оновлювати програмне забезпечення, а також забезпечити надійний захист домашніх пристроїв та корпоративної мережі.