Lazarus 黑客的 Linux 恶意软件与 3CX 供应链攻击有关

新的网络研究将臭名昭著的朝鲜黑客团伙拉撒路组织与名为“梦想工作”（Operation DreamJob）的 Linux 恶意软件攻击，以及 3CX 供应链攻击联系了起来。

在该公司 2023 年 4 月 20 日发布的 Live Security 网络安全报告中， ESET 研究人员宣布了拉撒路组织和目前针对 Linux 操作系统的扩展攻击之间的联系。该攻击是一项被称为 “梦想工作” 的持续的长期活动，影响了供应链，根据 ESET 网络安全团队的说法。

拉撒路组织使用社交工程技术来攻击目标，以虚假的工作机会为饵。在这种情况下，ESET 研究人员从提供假汇丰银行工作机会的压缩文件开始重建了整个攻击链，直到最终的有效负载。研究人员通过一个 OpenDrive 云存储帐户识别了 SimplexTea Linux 后门软件的分发。

据 ESET 称，这是这个重要的朝鲜黑客威胁行动首次公开使用 Linux 恶意软件的提及。这一发现帮助该团队 “高度自信地” 确认拉撒路组织进行了最近的 3CX 供应链攻击。

研究人员长期怀疑朝鲜国家支持的攻击者参与了持续进行的 DreamJob 网络攻击。根据博客文章，这份最新报告证实了这种联系。

“这次攻击以鲜明的色彩展示了威胁行动者如何扩展他们的武器库、目标、策略和影响范围，以绕过安全控制和惯例，” 基础设施和网络安全服务公司 Conversant Group 的首席执行官约翰·安东尼·史密斯（John Anthony Smith）告诉 LinuxInsider。

不幸的网络安全里程碑

史密斯补充说，攻击供应链并不是什么新鲜事。这是组织的致命弱点，这是不可避免的。

最终，一个供应链可能会影响到另一个供应链，形成 “线程供应链攻击”。这是网络安全中一个重要而不幸的里程碑，他观察到。

“我们可能会看到更多这样的攻击。我们看到威胁行动者扩展他们的变种以影响更多的系统，例如 BlackCat 使用 Rust 语言，使其勒索软件能够感染 Linux 系统，” 史密斯说。

拉撒路组织的扩散行动和梦想工作攻击显示出，黑客组织正在寻找新的方法和技术来绕过安全系统，以获得对目标网络的访问。

“这是一场不间断的战斗。每个人都必须保持警惕，以最小化攻击的影响。这需要采用全面的安全策略和实施持续的教育和意识计划，以保持最新的网络威胁和解决方案，”史密斯警告说。

3CX 供应链攻击

该恶意软件的供应链攻击是利用 3CX 的更新机制来分发恶意软件。 3CX 是一款用于企业和 VoIP 提供商的电话系统，是使用 Windows 操作系统的。

攻击者利用了 3CX 的 Web API，通过将恶意代码注入到软件更新中，将恶意软件分发给受害者。这种攻击方式使得恶意软件可以绕过传统的安全防御机制，例如杀毒软件和防火墙。

据报道，拉撒路组织可能是最近攻击 3CX 的幕后黑手。这种攻击已经给许多受害者带来了巨大的损失，包括勒索软件和数据盗窃。

ESET 的研究人员指出，这项攻击“明确显示了供应链攻击的可行性和危险性，以及威胁行动者在开发新的攻击技术方面的能力。”

北韩黑客活动

拉撒路组织是一个由朝鲜政府资助的黑客组织，也称为 APT37。该组织专门攻击韩国和其他亚洲国家的政府机构、军事组织、大型公司和电信公司。

该组织最初被认为是一支朝鲜间谍团队，但随着时间的推移，它的活动范围扩大到了其他地区。据报道，该组织曾经攻击过美国、日本和欧洲的公司和机构。

拉撒路组织以其高度复杂的攻击技术和使用的多个 0-day 漏洞而闻名。该组织使用社交工程技术和定向攻击手段来获取对目标网络的访问权限。