时光代理人

作者 Ari Denial 译者张晓东发布于 2023年4月22日

根据ESET最近的一份报告近日，臭名昭著的Lazarus Group（一个与朝鲜有联系的国家支持的行为体）被确认为针对Linux用户的新一轮攻击活动的幕后黑手。

这一活动是名为 "Operation Dream Job "的长期持续行动的一部分，目前已与该组织建立联系。这一发现意义重大，因为这是Lazarus集团首次公开利用Linux恶意软件作为社交工程活动的一部分。这一发现对安全专业人员至关重要，因为它凸显了这个臭名昭著的威胁行为者不断演变的战术。

Mandiant对3CX漏洞的调查证实，该漏洞是由于在另一次供应链攻击中安装了木马交易软件造成的。

这一事件凸显了北朝鲜行为体构成的持续威胁，并强调了采取全面网络安全措施防范此类攻击的必要性。

Lazarus集团正在LinkedIn等社交媒体平台上针对软件和DeFi平台工作人员实施虚假招聘信息的 "Dream Job行动"。这些攻击利用社交工程策略诱骗受害者下载包含恶意软件的恶意文件，如最近发现的OmicLoader和SimplexTea。

该恶意软件通过鱼叉式网络钓鱼或LinkedIn上的直接消息传播，并在文件名中使用Unicode字符伪装成PDF文件。启动后，恶意软件会下载一个二级有效载荷，即一个名为SimplexTea的C++后门，该后门被放置在"~/.config/guiconfigd. SimplexTea"。

ESET对SimplexTea恶意软件的分析表明，其功能、加密技术和硬编码基础架构与Lazarus的Windows恶意软件 "BadCall "和macOS变种 "SimpleSea "相似。

此外，VirusTotal还发现了SimplexTea的一个早期变种，名为 "sysnetd"，是用C语言编写的。sysnetd后门使用了SimpleSea恶意软件之前使用过的XOR密钥，并从一个名为/tmp/vgauthsvclog的文件中加载其配置，这表明其目标可能是Linux VMware虚拟机。这些发现凸显了Lazarus战术的适应性，目前已涵盖所有主要操作系统。