Hackergruppe Lazarus steckt hinter der 3CX Supply Chain Attacke

Der Operation DreamJob greift die APT (Advanced Persistent Threat)-Gruppe Lazarus erstmals auch gezielt Linux-Nutzer an. Prominentestes Opfer ist der VoIP-Software-Entwickler 3CX. Das Unheil nimmt mit einem gefälschten Jobangebot als Zip-Datei seinen hinterhältigen Lauf und endet mit der Schadsoftware SimplexTea. Die Linux-Backdoor wird über ein OpenDrive-Konto verteilt. Ihre Ergebnisse veröffentlichten die ESET Forscher auf WeLiveSecurity.

3CX ist ein internationaler VoIP-Software-Entwickler und -Distributor, der vielen Unternehmen Telefonsystemdienste anbietet. Laut seiner Website hat 3CX mehr als 600.000 Kunden und zwölf Millionen Benutzer in verschiedenen Branchen, darunter Luft- und Raumfahrt, Gesundheitswesen und Gastgewerbe. Das Unternehmen bietet Client-Software zur Nutzung seiner Systeme über einen Webbrowser, eine mobile App oder Desktop-Anwendung an. Ende März 2023 wurde entdeckt, dass die Desktop-Anwendung sowohl für Windows als auch für macOS bösartigen Code enthielt. Dieser ermöglichte es Angreifern, beliebigen Code auf alle Rechner herunterzuladen und auszuführen, auf denen die Anwendung installiert war. 3CX selbst wurde kompromittiert und dessen Software in einem Supply Chain-Angriff verwendet, um zusätzliche Malware an bestimmte 3CX-Kunden zu

Vermeintliches Jobangebot

Operation DreamJob ist der Name für eine Reihe von Kampagnen, bei denen Lazarus Social-Engineering-Techniken einsetzt, um seine Ziele zu kompromittieren. Dabei dienen gefälschte Jobangebote als Köder. Am 20. März übermittelte ein Benutzer in Georgien ein ZIP-Archiv mit dem Namen „HSBC job offer.pdf.zip“ an VirusTotal. Angesichts anderer DreamJob-Kampagnen von Lazarus wurde dieses Schadprogramm wahrscheinlich über Spearphishing oder Direktnachrichten auf LinkedIn verbreitet. Das Archiv enthält eine einzige Datei: eine native 64-Bit-Intel-Linux-Binärdatei, die in Go geschrieben wurde und „HSBC job offer“ heißt.

Die Täter hatten die Angriffe lange vor der Ausführung geplant – bereits im Dezember 2022. Dies lässt darauf schließen, dass sie bereits Ende letzten Jahres im Netzwerk von 3CX Fuß gefasst hatten. Einige Tage vor dem Bekanntwerden des Angriffs wurde ein mysteriöser Linux-Downloader bei VirusTotal eingereicht. Er lädt eine neue Lazarus-Backdoor für Linux namens SimplexTea herunter, die eine Verbindung zu demselben Command & Control-Server herstellt wie die Payloads, die beim 3CX-Angriff verwendet wurden.

Supply-Chain-Angriffe immer beliebter

Supply Chain-Angriffe stehen bei Hackern hoch im Kurs. Der Begriff beschreibt Angriffsszenarien, bei denen Cyberkriminelle in den Herstellungsprozess oder Entwicklungszyklus einer Software eingreifen oder ihn übernehmen. So erhalten Endverbraucher eines Produkts unter Umständen manipulierte Updates für die eingesetzte Software.

„Diese kompromittierte Software, die in verschiedenen IT-Infrastrukturen eingesetzt wird, ermöglicht das Herunterladen und Ausführen jeglicher Art von Nutzdaten, die verheerende Auswirkungen haben können. Die Heimlichkeit eines Supply Chain-Angriffs macht diese Methode der Malware-Verbreitung aus Sicht der Angreifer sehr attraktiv. Lazarus hat diese Technik bereits in der Vergangenheit eingesetzt“, erklärt ESET Forscher Peter Kálnai. „Interessant ist auch, dass Lazarus native Malware für alle wichtigen Desktop-Betriebssysteme produzieren und nutzen kann: Windows, macOS und Linux.“