Des chercheurs ont découvert une nouvelle campagne Lazarus Operation DreamJob ciblant les utilisateurs de Linux. Operation DreamJob est le nom d’une série de campagnes où le groupe utilise des techniques d’ingénierie sociale pour compromettre ses cibles avec de fausses offres d’emploi comme leurre.
Des chercheurs d’ESET ont reconstitué la chaîne complète, depuis le fichier ZIP qui délivre une fausse offre d’emploi de HSBC comme leurre jusqu’à la charge utile finale : la porte dérobée SimplexTea Linux, distribuée via OpenDrive, un compte de stockage cloud. C’est la première fois que cet important acteur de menace, aligné sur la Corée du Nord, utilise un maliciel Linux dans le cadre de cette opération. Les similitudes avec ce malware Linux récemment découvert corroborent la théorie selon laquelle le tristement célèbre groupe aligné sur la Corée du Nord est à l’origine de l’attaque de la chaîne d’approvisionnement 3CX
L’attaque en questionLes chercheurs de l’éditeur ESET ont reconstruit la chaîne complète, depuis le fichier ZIP qui fournit une fausse offre d’emploi de HSBC comme leurre jusqu’à la charge utile finale de la porte dérobée. Des similitudes avec cette nouvelle porte dérobée Linux la lient avec grande certitude à l’attaque de la chaîne d’approvisionnement 3CX. 3CX est un développeur et distributeur international de logiciels VoIP qui fournit des systèmes de téléphonie.
3CX a été compromis et son logiciel a été utilisé dans une attaque de la chaîne d’approvisionnement menée par les auteurs de menaces externes pour distribuer des logiciels malveillants supplémentaires à des clients 3CX spécifiques. L’attaque était planifiée depuis décembre 2022, longtemps d’avance.
Fin mars 2023, on a découvert que l’appli de bureau pour Windows et macOS contenait un code malveillant qui permettait à un groupe d’attaquants de télécharger et d’exécuter du code arbitraire sur toutes les machines sur lesquelles l’appli était installée. 3CX a été compromis et son logiciel a été utilisé dans une attaque de la chaîne d’approvisionnement par des acteurs externes afin de distribuer des maliciels supplémentaires à des clients 3CX bien précis.
Le 20 mars dernier, un utilisateur de Géorgie a soumis à VirusTotal une archive ZIP intitulée HSBC job offer.pdf.zip. Compte tenu d’autres campagnes DreamJob de Lazarus, cette charge utile a probablement été distribuée par harponnage ou par messages directs sur LinkedIn. L’archive contient un seul fichier : un binaire Intel Linux natif 64 bits écrit en Go et nommé offre d’emploi HSBC․pdf.
Pour en savoir plus, rendez-vous sur le blog WeLiveSecurity d’ESET (en anglais).