Avec Operation DreamJob, le groupe APT (Advanced Persistent Threat) Lazarus a attaqué pour la première fois les utilisateurs de Linux. La victime la plus importante est le développeur de logiciels VoIP 3CX. Les experts d'ESET découvrent une connexion à une cyberattaque sur 3CX.
Les chercheurs du fabricant de sécurité informatique ESET ont pu reconstituer tout le déroulement de l'opération et prouver ainsi que les hackers alliés à la Corée du Nord étaient à l'origine des attaques dites de la chaîne d'approvisionnement ("supply chain attack"). Le méfait prend son cours insidieux avec une fausse offre d'emploi sous forme de fichier zip et se termine avec le malware SimplexTea. La porte dérobée Linux est distribuée via un compte OpenDrive.
3CX : C'était Lazarus de Corée du Nord
« Suite à nos récentes découvertes, nous avons trouvé d'autres preuves corroborantes que le groupe Lazarus était derrière l'attaque de la chaîne d'approvisionnement contre 3CX. Cette connexion a été suspectée dès le départ et a depuis été prouvée par plusieurs chercheurs en sécurité », explique Peter Kálnai, chercheur à ESET. « Ce logiciel compromis, déployé sur diverses infrastructures informatiques, permet le téléchargement et l'exécution de tout type de charge utile susceptible de faire des ravages. La nature furtive d'une attaque de chaîne d'approvisionnement rend cette méthode de distribution de logiciels malveillants très attrayante du point de vue d'un attaquant. Lazarus a utilisé cette technique dans le passé », explique Kálnai. "Il est également intéressant que Lazarus puisse produire et consommer des logiciels malveillants natifs pour tous les principaux systèmes d'exploitation de bureau : Windows, macOS et Linux."
Commencez avec une offre d'emploi infectée par e-mail
Operation DreamJob est le nom donné à une série de campagnes dans lesquelles Lazarus utilise des techniques d'ingénierie sociale pour compromettre ses cibles. Les fausses offres d'emploi servent d'appât. Le 20 mars, un utilisateur en Géorgie a soumis une archive ZIP à VirusTotal appelée "HSBC job offer.pdf.zip". Compte tenu des autres campagnes Lazarus DreamJob, ce logiciel malveillant a probablement été distribué via du spear phishing ou des messages directs sur LinkedIn. L'archive contient un seul fichier : un binaire Intel Linux natif 64 bits écrit en Go et nommé "HSBC job offer․pdf".
Les auteurs avaient planifié les attaques bien à l'avance - dès décembre 2022. Cela suggère qu'ils avaient déjà pris pied sur le réseau de 3CX à la fin de l'année dernière. Quelques jours avant que l'attaque ne soit connue, un mystérieux téléchargeur Linux a été soumis à VirusTotal. Il télécharge une nouvelle porte dérobée Lazarus pour Linux appelée SimplexTea, qui se connecte au même serveur Command & Control que les payloads utilisés dans l'attaque 3CX.
Qu'est-ce qu'une attaque de la chaîne d'approvisionnement ?
Les attaques de la chaîne d'approvisionnement sont très populaires auprès des pirates. Le terme décrit des scénarios d'attaque dans lesquels des cybercriminels interviennent ou prennent le contrôle du processus de fabrication ou du cycle de développement d'un logiciel. Les utilisateurs finaux d'un produit peuvent recevoir des mises à jour manipulées pour le logiciel utilisé.
À propos de l'attaque contre 3CX
La société propose un logiciel client pour utiliser ses systèmes via un navigateur Web, une application mobile ou une application de bureau. Fin mars 2023, il a été découvert que l'application de bureau pour Windows et macOS contenait du code malveillant. Cela permettait aux attaquants de télécharger et d'exécuter du code arbitraire sur n'importe quelle machine sur laquelle l'application était installée. 3CX lui-même a été compromis et son logiciel a été utilisé dans une attaque de la chaîne d'approvisionnement pour distribuer des logiciels malveillants supplémentaires à certains clients 3CX.
Plus sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.