Lazarus Operation DreamJob – Ataque a la cadena de suministro de 3CX
Contents
Nro. Alerta:
AL-2023-020
CENTRO DE RESPUESTA A INCIDENTES INFORMÁTICOS DEL
ECUADOR
TLP:
ALERTAS DE SEGURIDAD
Fecha:
Lazarus Operation DreamJob – Ataque a la cadena de
suministro de 3CX
V 1.1
9-may-2023
Pág.: 1 of 16
I. DATOS GENERALES:
Clase de alerta:
Malware
Tipo de incidente:
Campaña maliciosa
Nivel de riesgo:
Alto
II. ALERTA
Figura 1.- Un señuelo temático de HSBC en la campaña Linux DreamJob
Fuente: https://www.welivesecurity.com/2023/04/20/linux-malware-strengthens-links-lazarus-3cxsupply-chain-attack/
Nro. Alerta:
AL-2023-020
CENTRO DE RESPUESTA A INCIDENTES INFORMÁTICOS DEL
ECUADOR
TLP:
ALERTAS DE SEGURIDAD
Fecha:
Lazarus Operation DreamJob – Ataque a la cadena de
suministro de 3CX
V 1.1
9-may-2023
Pág.: 2 of 16
La Operación DreamJob del grupo Lazarus consiste en acercarse a los objetivos a través
de LinkedIn y tentarlos con ofertas de trabajo de los líderes de la industria. El nombre fue
acuñado por ClearSky en un artículo publicado en agosto de 2020. Ese artículo describe
una campaña de ciberespionaje de Lazarus dirigida a empresas aeroespaciales y de
defensa. La actividad se superpone con lo que llamamos Operation In(ter)ception, una serie
de ataques de ciberespionaje que han estado en curso desde al menos septiembre de
2019. Se dirige …
AL-2023-020
CENTRO DE RESPUESTA A INCIDENTES INFORMÁTICOS DEL
ECUADOR
TLP:
ALERTAS DE SEGURIDAD
Fecha:
Lazarus Operation DreamJob – Ataque a la cadena de
suministro de 3CX
V 1.1
9-may-2023
Pág.: 1 of 16
I. DATOS GENERALES:
Clase de alerta:
Malware
Tipo de incidente:
Campaña maliciosa
Nivel de riesgo:
Alto
II. ALERTA
Figura 1.- Un señuelo temático de HSBC en la campaña Linux DreamJob
Fuente: https://www.welivesecurity.com/2023/04/20/linux-malware-strengthens-links-lazarus-3cxsupply-chain-attack/
Nro. Alerta:
AL-2023-020
CENTRO DE RESPUESTA A INCIDENTES INFORMÁTICOS DEL
ECUADOR
TLP:
ALERTAS DE SEGURIDAD
Fecha:
Lazarus Operation DreamJob – Ataque a la cadena de
suministro de 3CX
V 1.1
9-may-2023
Pág.: 2 of 16
La Operación DreamJob del grupo Lazarus consiste en acercarse a los objetivos a través
de LinkedIn y tentarlos con ofertas de trabajo de los líderes de la industria. El nombre fue
acuñado por ClearSky en un artículo publicado en agosto de 2020. Ese artículo describe
una campaña de ciberespionaje de Lazarus dirigida a empresas aeroespaciales y de
defensa. La actividad se superpone con lo que llamamos Operation In(ter)ception, una serie
de ataques de ciberespionaje que han estado en curso desde al menos septiembre de
2019. Se dirige …
IoC
0CA1723AFE261CD85B05C9EF424FC50290DCE7DF
172.93.201.88
23.254.211.230
38.108.185.115
38.108.185.79
3a63477a078ce10e53dfb5639e35d74f93cefa81
3cf7232e5185109321921046d039cf10
492a643bd1efdaca4ca125ade1b606e7bbf00e995ac9115ac84d1c4c59cb66dd
988ec0c1a4e6a056b92da307c6f68b17
9d8bade2030c93d0a010aa57b90915eb7d99ec82
F6760FB1F8B019AF2304EA6410001B63A1809F1D
aac5a52b939f3fe792726a13ff7a1747
ab530f284a04fcfc070e237fd2a52e04
cc307cfb401d1ae616445e78b610ab72e1c7fb49b298ea003dd26ea80372089a
ce6b4f2a94f0f0f93850f3a2723d1627
f638e5a20114019ad066dd0e856f97fd865798d8fbed1766662d970beff652ca
f6760fb1f8b019af2304ea6410001b63a1809f1d
fc41cb8425b6432af8403959bb59430d
http://172.93.201.88
http://23.254.211.230
http://38.108.185.115
http://38.108.185.79
http://journalide.org
172.93.201.88
23.254.211.230
38.108.185.115
38.108.185.79
3a63477a078ce10e53dfb5639e35d74f93cefa81
3cf7232e5185109321921046d039cf10
492a643bd1efdaca4ca125ade1b606e7bbf00e995ac9115ac84d1c4c59cb66dd
988ec0c1a4e6a056b92da307c6f68b17
9d8bade2030c93d0a010aa57b90915eb7d99ec82
F6760FB1F8B019AF2304EA6410001B63A1809F1D
aac5a52b939f3fe792726a13ff7a1747
ab530f284a04fcfc070e237fd2a52e04
cc307cfb401d1ae616445e78b610ab72e1c7fb49b298ea003dd26ea80372089a
ce6b4f2a94f0f0f93850f3a2723d1627
f638e5a20114019ad066dd0e856f97fd865798d8fbed1766662d970beff652ca
f6760fb1f8b019af2304ea6410001b63a1809f1d
fc41cb8425b6432af8403959bb59430d
http://172.93.201.88
http://23.254.211.230
http://38.108.185.115
http://38.108.185.79
http://journalide.org