يُنسب الممثل سيئ السمعة المدعوم من الدولة المتحالف مع كوريا الشمالية والمعروف باسم Lazarus Group إلى حملة جديدة تستهدف مستخدمي Linux.
قالت إسيت في تقرير جديد نُشر اليوم إن الهجمات جزء من نشاط مستمر وطويل الأمد يتم تعقبه تحت اسم عملية الحلم .
تعتبر النتائج حاسمة ، لأسباب ليس أقلها أنها تمثل أول مثال موثق علنًا للخصم الذي يستخدم برمجيات لينكس الضارة كجزء من مخطط الهندسة الاجتماعية هذا.
تشير عملية Dream Job ، والمعروفة أيضًا باسم DeathNote أو NukeSped ، إلى موجات هجوم متعددة حيث تستفيد المجموعة من عروض العمل الاحتيالية كإغراء لخداع أهداف غير متوقعة لتنزيل برامج ضارة. كما تعرض أيضًا تداخلًا مع مجموعتين أخريين من مجموعات Lazarus المعروفة باسم Operation In (ter) ception و Operation North Star.
لا تختلف سلسلة الهجوم التي اكتشفتها ESET من حيث أنها تقدم عرض عمل HSBC مزيفًا كخدعة داخل ملف أرشيف ZIP الذي يتم استخدامه بعد ذلك لإطلاق باب خلفي على نظام Linux يسمى SimplexTea يتم توزيعه عبر حساب تخزين سحابي OpenDrive.
.png)
في حين أن الطريقة الدقيقة المستخدمة لتوزيع ملف ZIP غير معروفة ، يُشتبه في أنها إما تصيد احتيالي أو رسائل مباشرة على LinkedIn. الباب الخلفي ، المكتوب بلغة C ++ ، يحمل أوجه تشابه مع BADCALL ، حصان طروادة Windows كان يُنسب سابقًا إلى المجموعة.
علاوة على ذلك ، قالت ESET إنها حددت القواسم المشتركة بين القطع الأثرية المستخدمة في حملة Dream Job وتلك المكتشفة كجزء من هجوم سلسلة التوريد على مطور برامج VoIP 3CX الذي ظهر الشهر الماضي.
يتضمن هذا أيضًا مجال القيادة والتحكم (C2) "journalide [.] org" ، والذي تم إدراجه كواحد من أربعة خوادم C2 التي تستخدمها عائلات البرامج الضارة التي تم اكتشافها داخل بيئة 3CX.
تشير الدلائل إلى أن الاستعدادات لهجوم سلسلة التوريد كانت جارية منذ ديسمبر 2022 ، عندما تم الالتزام ببعض المكونات لمنصة GitHub لاستضافة الرموز.
لا تعمل النتائج على تعزيز الرابط الحالي بين Lazarus Group والتسوية 3CX فحسب ، بل توضح أيضًا استمرار نجاح الفاعل في شن هجمات على سلسلة التوريد منذ عام 2020 .