Lazarus Group

Grupul Lazarus vizează sistemele Linux prin intermediul LinkedIn

Grupul Lazarus, un cunoscut grup de piraterie legat de Coreea de Nord, a fost observat folosind oferte false de locuri de muncă pentru a livra programe malware care vizează în mod special sistemele Linux.

Lazarus este cunoscut pentru atacurile sale care se dau drept surse de încredere, cum ar fi colegi, furnizori de servicii și altele. Grupul de operatori rău intenționați a vizat acum Linux, ceea ce îl face un grup de pirați informatici periculos pentru toate sistemele de operare majore.

Operațiunea: Dream Job

Potrivit cercetătorilor de la ESET, grupul atacă persoane neștiutoare, posibil prin intermediul LinkedIn, cu atacuri de spear-phishing, o metodă de atac cibernetică utilizată pentru a obține informații sensibile sau pentru a accesa un calculator prin trimiterea de mesaje care par a proveni din surse de încredere.

ESET mai raportează că un utilizator a trimis o arhivă ZIP numită „HSBCjoboffer.pdf.zip” pe site-ul VirusTotal, care este folosit pentru a verifica dacă fișierele încărcate sunt malițioase în vreun fel, iar arhiva ZIP conținea un singur fișier, un binar nativ Linux pe 64 bit scris în Go și numit HSBCjoboffer.pdf.

An HSBC-themed lure in the Linux DreamJob campaign by ESET

Cum se desfășoară infectarea

În acest scenariu, victima neștiutoare a primit o ofertă de muncă și a deschis fișierul pentru a-l vizualiza.

La deschidere, malware-ul numit „OdicLoader” afișează un document PDF fals, descărcând în același timp o aplicație malware dintr-un depozit privat găzduit pe serviciul de cloud OpenDrive.

Fișierul descărcat este salvat în „~/.config/guiconfigd” și ca ultim pas, OdicLoader modifică „~/.bash_profile”, astfel încât SimplexTea este lansat cu Bash, iar rezultatul său este dezactivat.

Obiectivul acestui malware este de a păcăli destinatarul, făcându-l să creadă că fișierul pe care l-a descărcat provine dintr-o sursă legală, în timp ce îi infectează sistemul cu malware în fundal.

Illustration of the probable chain of compromise by ESET

ESET a descoperit că malware-ul SimplexTea folosit în „Operațiunea DreamJob” a lui Lazarus este similar cu malware-ul său pentru Windows, „BadCall”, și cu malware-ul pentru macOS, „SimpleSea”, ceea ce înseamnă că Lazarus a reușit să infecteze toate sistemele de operare majore.

Este o idee bună să vă păstrați sistemul Linux actualizat cu cele mai recente actualizări de securitate. Cu toate acestea, este de asemenea important să dați dovadă de prudență atunci când primiți oferte de muncă din surse necunoscute, în special pe platformele de socializare precum LinkedIn.

Fiți întotdeauna precaut față de ofertele de locuri de muncă nesolicitate și evitați să dați clic pe legături sau să descărcați atașamente dacă nu sunteți absolut sigur că expeditorul este de încredere.

ThinkRoot99

Numele meu este Cristian Moldovan și sunt utilizator de Linux de peste 10 ani.Am făcut parte din mai multe echipe open source din România: Fundația Ceata, Linux Mint România, Rogentos Linux Group. Între 2014 și 2018 am fost propietarul și editorul site-ului de știri despre linux, gnulinux.ro și actual proprietar al rootlinux.ro

View all posts by ThinkRoot99 →

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *