Für die Suche nach Inhalten geben Sie »Content:« vor den Suchbegriffen ein, für die Suche nach Orten geben Sie »Orte:« oder »Ort:« vor den Suchbegriffen ein. Wenn Sie nichts eingeben, wird in beiden Bereichen gesucht.

 

 

Linux Malware als Beweis: Hackergruppe Lazarus steckt hinter der 3 CX Supply Chain AttackeZoom Button

Foto: Mati Mango, Informationen zu Creative Commons (CC) Lizenzen, für Pressemeldungen ist der Herausgeber verantwortlich, die Quelle ist der Herausgeber

Linux Malware als Beweis: Hackergruppe Lazarus steckt hinter der 3 CX Supply Chain Attacke

Linux Malware als Beweis: Hackergruppe Lazarus steckt hinter der 3 CX #Supply #Chain #Attacke

Jena, 20. April 2023

Mit der Operation #Dream #Job greift die APT (Advanced Persistent Threat) Gruppe Lazarus erstmals auch gezielt #Linux #Nutzer an. Prominentestes Opfer ist der #VOIP #Software Entwickler 3 CX. Die #Forscher des IT Sicherheitsherstellers #ESET konnten den kompletten Ablauf der Operation rekonstruieren und so nachweisen, dass die mit Nordkorea verbündeten #Hacker hinter den sogenannten Supply Chain Angriffen (»Lieferkettenangriff«) stecken. Das #Unheil nimmt mit einem gefälschten Jobangebot als Zip Datei seinen hinterhältigen Lauf und endet mit der #Schadsoftware Simplex Tea. Die Linux #Backdoor wird über ein #Open #Drive #Konto verteilt. Ihre Ergebnisse veröffentlichten die ESET Forscher auf We Live #Security.

»Nach unseren jüngsten Entdeckungen haben wir weitere stichhaltige Beweise gefunden, dass die Lazarus-Gruppe hinter dem Supply Chain Angriff auf 3 CX steckt. Diese Verbindung wurde von Anfang an vermutet und seitdem von mehreren Sicherheitsforschern nachgewiesen«, sagt ESET Forscher Peter Kálnai. »Diese kompromittierte #Software, die in verschiedenen IT Infrastrukturen eingesetzt wird, ermöglicht das #Herunterladen und Ausführen jeglicher Art von Nutzdaten, die verheerende Auswirkungen haben können. Die Heimlichkeit eines Supply Chain Angriffs macht diese Methode der #Malware Verbreitung aus Sicht der Angreifer sehr attraktiv. Lazarus hat diese Technik bereits in der Vergangenheit eingesetzt«, erklärt Kálnai. »Interessant ist auch, dass Lazarus native Malware für alle wichtigen #Desktop Betriebssysteme produzieren und nutzen kann: Windows, Mac OS und Linux.«

Vermeintliches Jobangebot

Operation Dream Job ist der Name für eine Reihe von Kampagnen, bei denen Lazarus #Social #Engineering Techniken einsetzt, um seine Ziele zu kompromittieren. Dabei dienen gefälschte Jobangebote als Köder. Am 20. März 2023 übermittelte ein Benutzer in Georgien ein #ZIP #Archiv mit dem Namen »HSBC job offer.pdf.zip« an #Virus #Total. Angesichts anderer Dream Job Kampagnen von Lazarus wurde dieses Schadprogramm wahrscheinlich über #Spearphishing oder Direktnachrichten auf #Linkedin verbreitet. Das Archiv enthält eine einzige Datei: eine native 64 Bit Intel Linux Binärdatei, die in Go geschrieben wurde und »HSBC job offer․pdf« heißt.

Die Täter hatten die Angriffe lange vor der Ausführung geplant – bereits im Dezember 2022. Dies lässt darauf schließen, dass sie bereits Ende vergangenen Jahres im Netzwerk von 3 CX Fuß gefasst hatten. Einige Tage vor dem Bekanntwerden des Angriffs wurde ein mysteriöser Linux #Downloader bei Virus Total eingereicht. Er lädt eine neue Lazarus #Backdoor für #Linux namens Simplex Tea herunter, die eine Verbindung zu demselben #Command and #Control #Server herstellt wie die Payloads, die beim 3 CX Angriff verwendet wurden.

Was ist ein Supply Chain Angriff?

Supply Chain Angriffe stehen bei Hackern hoch im Kurs. Der Begriff beschreibt Angriffsszenarien, bei denen Cyberkriminelle in den Herstellungsprozess oder Entwicklungszyklus einer Software eingreifen oder ihn übernehmen. So erhalten #Endverbraucher eines Produkts unter Umständen manipulierte Updates für die eingesetzte #Software.

Über den Angriff auf 3 CX

3 CX ist ein internationaler #VOIP Software #Entwickler und #Distributor, der vielen Unternehmen Telefonsystemdienste anbietet. Laut seiner Website hat 3 CX mehr als 600.000 Kunden und 12 Millionen Benutzer in verschiedenen Branchen, darunter #Luftfahrt und #Raumfahrt, Gesundheitswesen und #Gastgewerbe. Das Unternehmen bietet #Client Software zur Nutzung seiner Systeme über einen Webbrowser, eine mobile #App oder #Desktop Anwendung an. Ende März 2023 wurde entdeckt, dass die Desktop Anwendung sowohl für Windows als auch für #Mac #OS bösartigen Code enthielt. Dieser ermöglichte es Angreifern, beliebigen Code auf alle #Rechner herunterzuladen und auszuführen, auf denen die Anwendung installiert war. 3 CX selbst wurde kompromittiert und dessen #Software in einem Supply Chain Angriff verwendet, um zusätzliche #Malware an bestimmte 3 CX Kunden zu verteilen.

  • Der aktuelle Artikel ist auf We Live Security verfügbar, mehr
We Live Security Online

Content bei Gütsel Online …

 
Gütsel
Termine und Events

Veranstaltungen
nicht nur in Gütersloh und Umgebung

November 2024
So Mo Di Mi Do Fr Sa
12
3456789
10111213141516
17181920212223
24252627282930
Dezember 2024
So Mo Di Mi Do Fr Sa
1234567
891011121314
15161718192021
22232425262728
293031
Februar 2025
So Mo Di Mi Do Fr Sa
1
2345678
9101112131415
16171819202122
232425262728
September 2025
So Mo Di Mi Do Fr Sa
123456
78910111213
14151617181920
21222324252627
282930
November 2025
So Mo Di Mi Do Fr Sa
1
2345678
9101112131415
16171819202122
23242526272829
30
Dezember 2025
So Mo Di Mi Do Fr Sa
123456
78910111213
14151617181920
21222324252627
28293031
Februar 2026
So Mo Di Mi Do Fr Sa
1234567
891011121314
15161718192021
22232425262728
September 2026
So Mo Di Mi Do Fr Sa
12345
6789101112
13141516171819
20212223242526
27282930
Oktober 2026
So Mo Di Mi Do Fr Sa
123
45678910
11121314151617
18192021222324
25262728293031
November 2042
So Mo Di Mi Do Fr Sa
1
2345678
9101112131415
16171819202122
23242526272829
30