Una nueva investigación cibernética vincula al notorio grupo Lazarus alineado con Corea del Norte detrás del ataque de malware de Linux «Operation DreamJob» con el ataque a la cadena de suministro de 3CX.
En el informe Live Security Web de la compañía del 20 de abril, Éxeter Los investigadores han anunciado un vínculo entre el grupo Lazarus y la continua expansión de los ataques contra el sistema operativo Linux. El equipo de ciberseguridad de ESET dijo que los ataques eran parte de una campaña continua a largo plazo denominada «Operación DreamJob», que afectó las cadenas de suministro.
Lazarus Group utiliza técnicas de ingeniería social para comprometer objetivos con ofertas de trabajo falsas como cebo. En este caso, los investigadores de ESET reconstruyeron toda la cadena a partir de un archivo zip que ofrecía ofertas de trabajo falsas de HSBC como cebo para la carga útil final. Los investigadores han descubierto una puerta trasera SimplexTea Linux distribuida a través de cuentas de almacenamiento en la nube OpenDrive.
Según ESET, esta es la primera referencia pública al uso de malware de Linux en esta campaña por parte de un importante actor de amenazas alineado con Corea del Norte. Este hallazgo ayudó al equipo a confirmar con «un alto grado de confianza» que el grupo Lazarus recientemente llevó a cabo un ataque a la cadena de suministro de 3CX.
Los investigadores han sospechado durante algún tiempo que los atacantes patrocinados por el estado de Corea del Sur estaban involucrados en el ciberataque en curso DreamJob. Según la publicación del blog, este último informe confirma el vínculo.
“Este ataque muestra a todo color cómo los actores de amenazas continúan expandiendo su arsenal, objetivos, tácticas y alcance para eludir los controles y prácticas de seguridad”, dijo John Anthony Smith, director ejecutivo de Infraestructura y Servicios de Ciberseguridad. Grupo ConConcentradole dijo a LinuxInsider.
Tabla de Contenidos
desafortunado hito de la red
Los atacantes que tienen como objetivo las cadenas de suministro no son nuevos ni sorprendentes, agregó Smith. Estos son los talones de Aquiles de las organizaciones, y son inevitables.
Eventualmente, una cadena de suministro podría afectar a otra cadena de suministro, lo que resultaría en un «ataque de cadena de suministro con subprocesos». Señaló que este es un hito importante y desafortunado para el campo de la seguridad.
“Es probable que veamos más de esto. Estamos viendo que los actores de amenazas expanden sus variantes para afectar a más sistemas, como BlackCat que usa el lenguaje Rust, para que su ransomware pueda infectar los sistemas Linux y sea más difícil de detectar”, dijo, refiriéndose a este caso de uso de malware de Linux.
Describió el ataque cibernético DreamJob como una nueva versión de un viejo escenario de oferta falsa. Los actores de amenazas continuarán buscando nuevos cambios, variantes, esquemas y vectores.
«Como tal, las organizaciones deben permanecer flexibles para evaluar regularmente sus controles y estas estrategias cambiantes y en expansión», aconseja Smith.
Exposición de los detalles del ataque
3CX es un desarrollador y distribuidor de software VoIP que brinda servicios de sistemas telefónicos a muchas organizaciones. La empresa tiene más de 600.000 clientes y 12.000.000 de usuarios en varios campos, incluidos el aeroespacial, la atención médica y la hospitalidad. Proporciona software de cliente a través de un navegador web, una aplicación móvil o una aplicación de escritorio.
A fines de marzo, el personal de seguridad cibernética descubrió que las aplicaciones de escritorio de Windows y macOS de 3CX habían sido comprometidas por un código malicioso. El código malicioso permite que un atacante descargue y ejecute código arbitrario en todas las computadoras que alojan el software instalado.
Los ciberexpertos descubrieron además que el software comprometido de 3CX se utilizó en ataques a la cadena de suministro. El grupo Lazarus aprovechó los actores de amenazas externas para distribuir malware adicional a clientes específicos de 3CX.
huelga de masas Según un blog de ESET, un informe del 29 de marzo decía que Labyrinth Chollima (el nombre en clave de la empresa, Lazarus) estaba detrás del ataque, pero no proporcionó ninguna evidencia para respaldar esta afirmación. Debido a la gravedad del incidente, varias empresas de seguridad comenzaron a publicar sus propios resúmenes del incidente.
Los atacantes de Operation Dream Job se acercan a los objetivos a través de LinkedIn y los atraen con ofertas de trabajo en empresas industriales de alta tecnología. El grupo de piratería ahora puede apuntar a todos los principales sistemas operativos de escritorio.
Las estrategias y herramientas revelan el propósito
Los adversarios cibernéticos lanzan campañas con fines planificados.Zane Bond, director de producto de la empresa de software de ciberseguridad, dijo que las herramientas que utilizan pueden ayudar al personal de seguridad a discernir los detalles del propósito. seguridad del guardián.
La mayoría de las campañas contra el público son ciberataques a gran escala, de baja confianza y de pocos clics. La idea, explicó, es que si un mal actor envía 100 millones de correos electrónicos y logra que uno de cada millón de destinatarios haga clic en él, el atacante aún puede obtener cien víctimas.
Le dijo a LinuxInsider: «Si la carga útil se envía a un número desconocido de usuarios, el sistema operativo con mayor probabilidad de éxito es Windows, y las probabilidades son altas».
Cuando los adversarios comienzan a crear cargas útiles de phishing para Mac y, con menos frecuencia, Linux, podemos suponer que los atacantes están lanzando phishing o enviando correos electrónicos maliciosos a posibles objetivos preseleccionados de alto valor.
“Cuando los sistemas Linux se ven comprometidos, los objetivos son casi siempre los servidores y las nubes. En estos casos, el atacante sabe a quién se dirige el acceso y puede adaptar los esfuerzos de mensajería e ingeniería social a víctimas específicas”, dijo.
Los ataques a Linux muestran que el enfoque está cambiando
La aparición del malware de Linux en el arsenal de los actores de amenazas refleja cómo los piratas informáticos están dirigiendo su atención a la explotación de dispositivos vulnerables de IoT y tecnología operativa (OT). Bud Broomhead, CEO de Automated IoT Cyber Hygiene, dijo que la escala de este tipo de ataques es mucho mayor que los sistemas de TI y, a menudo, no se administran con tanta seguridad cibernética como los dispositivos de TI. viacourt.
«Los dispositivos IoT/OT son sistemas funcionalmente ciberfísicos cuya operación requiere elementos físicos, como el ajuste de válvulas, la apertura de puertas, la captura de video», dijo a LinuxInsider.
Esencialmente, estos dispositivos son los ojos, los oídos y las manos de la organización. Los actores de amenazas del estado-nación en particular quieren infectar y afianzarse en la infraestructura del sistema cibernético debido a su potencial para interrumpir y confundir a las víctimas, agregó Broomhead.
Protección de seguridad web básica para cualquier sistema operativo
No importa qué sistema operativo esté ejecutando un objetivo cibernético potencial, se aplican las mismas protecciones básicas: no haga clics peligrosos, parchee el sistema y use un administrador de contraseñas, dijo Bond.
Estas tres simples medidas detendrán la mayoría de los ciberataques. El malware de clic cero suele ser fácil de detectar y parchear.
Él asegura que mientras su sistema esté actualizado, debe estar seguro. Para evitar el malware estándar que requiere la intervención del usuario, evite los clics peligrosos.
«Finalmente, el autocompletado del administrador de contraseñas podrá identificar detalles pequeños pero fáciles de perder, como certificados SSL, iframes de origen cruzado y sitios web falsos», sugiere.
