Linkedinを悪用して特定のターゲットにアプローチし、求人を「餌」に情報窃取型マルウェアを仕掛ける北朝鮮を背景とするハッカー集団、Lazarusが行っているとされる「Operation Dreamjob」と呼ばれるサイバー攻撃キャンペーンがあります。スロバキアのサイバーセキュリティ企業、ESETによるとこの攻撃でLinuxユーザーを標的にしたケースが見つかったということです。
Windows用バックドアBADCALLのLinux版
ESETによると、今年3月20日にHSBC offer.pdf.zipというZIPアーカイブがマルウェアの検査を行うVirus Totalに送信されました。ESETの研究者の分析によると、このZIPアーカイブにはGo言語で記述されたHSBC job offer.pdfという名前の64ビットIntel Linuxバイナリのファイルが含まれていました。そして、このファイルの拡張子は.pdfではありませんでした。このファイルをダブルクリックして開くと、最初に偽のHSBC求人情報を記したドキュメントがデフォルトのPDFビューアーを使って表示され、次にOpenDriveクラウドサービスからバックドアをダウンロードして起動するということです。ESETはこのバックドアをSimplexTeaと呼んでいます。
ESETによるとSimplexTeaはC++ で記述された Linux バックドアで、ルーマニアからVirus Totalに送信されたsysnetdというファイルとよく似ているということです。ESETの研究者はSimplexTeaはsysnetdの更新バージョンだと考えているということです。アメリカ当局が北朝鮮によるトロイの木馬と断定しているマルウェアにBADCALLというものがありますが、ESETの研究者の分析ではコードの類似性からsysnetdはWindows用バックドアのBADCALLのLinux版だと考えられるということです。よってsysnetdの更新バージョンであるSimplexTeaもBADCALLのLinux版になるということだと思われます。ESETによると、2022年7月から8月にかけてmacOSを標的とするOperation Dreamjobキャンペーンの事例も見つかっており、今回のLinuxバックドアの発見によりLazarusによるサイバー攻撃キャンペーンはすべての主要なデスクトップオペレーションシステムを対象にする機能を有していることが明らかになったとESETは指摘しています。
ESET「3CXサプライチェーン攻撃はLazarus」
また、ESETによると、3CXサプライチェーン攻撃でmacOSに対して使われたバックドアのSIMPLESEAはA5/1ストリーム暗号を実装しており、sysnetdとSIMPLESEAのXORキーは同じだということです。またESETは、SimplexTeaのインフラが使用しているコマンドアンドコントロールサーバーのドメインが3CXへの侵害調査で報告されたドメインと同じであることやSimplexTeaのペイロードがSIMPLESEAマルウェアと非常によく似た方法で構成されていることなどから3CXサプライチェーン攻撃はLazarusによる攻撃と確信される、としています。
そのうえでLazarusがWindows、macOS、Linuxとすべてのデスクトップオペレーティングシステム向けのマルウェアを作成して使用していることを指摘、3CXサプライチェーン攻撃ではWindowsとmacOSへの攻撃だったが、Operation DreamjobキャンペーンにおけるLinuxバックドアの発見は、3CX インシデントで確認された SIMPLESEA macOS マルウェアに対応する Linux バックドアの存在を示していると言及しています。
■出典