ESET Research découvre l’attaque « Operation DreamJob » qui cible des utilisateurs de Linux

Date:

  • Les chercheurs d’ESET ont découvert une nouvelle campagne « Operation DreamJob » menée par le groupe Lazarus ciblant des utilisateurs de Linux.
  • « Operation DreamJob » est le nom d’une série de campagnes qui utilisent des techniques d’ingénierie sociale pour compromettre leurs cibles, avec de fausses offres d’emploi comme appât.
  • ESET a reconstitué la chaîne complète, depuis le fichier ZIP qui fournit une fausse offre d’emploi chez HSBC en guise de leurre jusqu’au malware final contenant la porte dérobée.
  • Les similitudes observées dans cette porte dérobée Linux la relient avec grande certitude à l’attaque contre la chaîne d’approvisionnement de 3CX.
  • L’entreprise a été piratée et son logiciel a été utilisé dans une attaque distribuant des malwares à des clients spécifiques via la chaîne d’approvisionnement de 3CX. L’attaque a été planifiée longtemps à l’avance, depuis le mois de décembre 2022.

Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont découvert une nouvelle campagne « Operation DreamJob » menée par le groupe Lazarus ciblant des utilisateurs de Linux. ESET Research a pu reconstituer la chaîne complète, depuis le fichier ZIP qui contient une fausse offre d’emploi chez HSBC jusqu’au malware final : la porte dérobée Linux SimplexTea diffusée via un compte de stockage OpenDrive dans le Cloud. C’est la première fois que ce groupe de pirates affilié à la Corée du Nord utilise des malwares Linux. Les similitudes avec un malware Linux récemment découvert corroborent la théorie selon laquelle le groupe est à l’origine de l’attaque contre la chaîne d’approvisionnement de 3CX.

« Cette découverte fournit des preuves concordantes et renforce notre quasi-certitude que la récente attaque contre la chaîne d’approvisionnement de 3CX fut menée par Lazarus. Ce lien était soupçonné depuis le début et a été démontré par plusieurs chercheurs en sécurité depuis lors, » déclare Peter Kálnai, le chercheur chez ESET qui enquête sur les activités de Lazarus.

3CX est un développeur et distributeur international de logiciels de VoIP qui fournit des services de téléphonie à de nombreuses organisations. Selon son site web, 3CX compte plus de 600 000 clients et 12 millions d’utilisateurs dans différents secteurs, notamment l’aérospatiale, la santé et l’hôtellerie. L’entreprise fournit un logiciel client permettant d’utiliser ses systèmes via un navigateur web, une application mobile ou une application de bureau. Fin mars 2023, un malware a été découvert dans l’application de bureau pour Windows et macOS. Il permettait à un groupe d’attaquants de transmettre et d’exécuter un code arbitraire sur toutes les machines où l’application était installée. 3CX a été piratée et son logiciel a été utilisé dans une attaque distribuant des malwares à des clients spécifiques via sa chaîne d’approvisionnement.

Les auteurs avaient planifié les attaques bien avant leur exécution, dès décembre 2022. Cela suggère qu’ils avaient déjà pris pied dans le réseau de 3CX à la fin de l’année dernière. Plusieurs jours avant que l’attaque ne soit révélée publiquement, un mystérieux téléchargeur Linux a été soumis à VirusTotal. Il télécharge une nouvelle porte dérobée Lazarus pour Linux, appelée SimplexTea, qui se connecte au même serveur de commande et de contrôle que les malwares impliqués dans l’attaque contre 3CX.

« Ce logiciel compromis, déployé sur différentes infrastructures informatiques, permet de télécharger et d’exécuter n’importe quel type de malware, ce qui peut avoir des effets dévastateurs. La furtivité d’une attaque contre la chaîne d’approvisionnement rend cette méthode de diffusion de malwares très attrayante du point de vue d’un attaquant, et Lazarus a déjà utilisé cette technique par le passé, » explique M. Kálnai. « Il est également intéressant de noter que Lazarus est capable de produire et d’utiliser des malwares natifs pour les principaux systèmes d’exploitation de bureau : Windows, macOS et Linux, » ajoute Marc-Etienne M.Léveillé, chercheur chez ESET qui a participé à l’étude.

Operation DreamJob est le nom d’une série de campagnes du groupe Lazarus qui utilisent des techniques d’ingénierie sociale pour compromettre leurs cibles, avec de fausses offres d’emploi comme appât. Le 20 mars, un utilisateur en Géorgie a soumis à VirusTotal une archive ZIP appelée « HSBC job offer.pdf.zip ». Compte tenu des autres campagnes DreamJob menées par Lazarus, ce malware a probablement été distribué via des messages d’hameçonnage ciblé ou des messages directs sur LinkedIn. L’archive contient un seul fichier : un binaire Linux Intel 64 bits natif rédigé en Go et nommé « HSBC job offer.pdf ».

Pour plus d’informations techniques sur la dernière campagne DreamJob de Lazarus et ses liens avec l’attaque contre la chaîne d’approvisionnement de 3CX, consultez l’article « Linux malware strengthens links between Lazarus and the 3CX supply-chain attack » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.

Partager l'article:

Articles Recents

S'abonner

VIDÉOS SPONSORISÉES
VIDÉOS SPONSORISÉES

00:00:30

OPPO Reno12 : L’Alliance Parfaite entre Design, Intelligence Artificielle et Performance

Les séries Reno12 d'OPPO marquent une avancée significative dans le domaine de la photographie mobile grâce à l'intégration poussée de l'intelligence artificielle.
00:02:15

Abdelaziz Makhloufi, PDG de Cho Group, met en lumière l’excellence de l’huile d’olive tunisienne sur BFM Business

Fort de son expertise reconnue dans le secteur oléicole, Abdelaziz Makhloufi, Président-directeur général du groupe Cho, a saisi l'opportunité de l'émission BFM Business pour promouvoir l'huile d'olive tunisienne à l'échelle internationale.
00:00:32

Lancement du nouveau Huawei Nova Y61

Huawei Consumer Business Group annonce le lancement du HUAWEI nova Y61, le plus récent smartphone de la série HUAWEI nova Y.

CONTENUS SPONSORISÉS
CONTENUS SPONSORISÉS

Ramadan : Un Mois Propice pour rompre avec la cigarette

Le mois sacré de Ramadan offre une opportunité unique pour ceux qui désirent se libérer de l'emprise de la cigarette.

OPPO A78, le nouveau smartphone bientôt en Tunisie

OPPO, la marque leader sur le marché mondial des appareils connectés, vient d’annoncer l’arrivée sur le marché tunisien de son dernier smartphone A78, à partir du 1er septembre 2023.
00:03:27

OPPO Tunisie lance les nouveaux smartphones Reno8 T 4G, Reno8 T 5G, un design élégant et une fluidité totale

OPPO vient d’annoncer le lancement, en Tunisie, de ses derniers modèles de smartphones de la série Reno, les nouveaux Reno8 T et Reno8 T 5G, avec une offre spéciale durant tout le mois de mars 2023.

Oppo consolide sa position et met en avant la nouvelle technologie de son Reno7

OPPO, la marque internationale leader dans l’industrie des smartphones et des objets connectés, a développé ces dernières années sa position et ses activités en Tunisie, dans le cadre d’une extension sur les marchés de la région Moyen Orient et Afrique.

A lire également
A lire également

Huawei : une production massive de la puce IA Ascend 910C prévue pour 2025

Huawei prévoit la production massive de sa puce IA Ascend 910C pour début 2025, malgré les défis liés aux restrictions américaines. Découvrez les enjeux technologiques et stratégiques d'une avancée majeure pour l'industrie des semi-conducteurs.

Sony sur le point de racheter Kadokawa : un tournant majeur pour le gaming

Sony pourrait bientôt s'offrir Kadokawa, la société à l'origine du succès phénoménal d'Elden Ring. Cette acquisition renforcerait considérablement la position de Sony dans l'industrie du jeu vidéo.

Le réseau social de Trump négocie l’achat de Bakkt : une révolution crypto en vue

Le groupe de Donald Trump, propriétaire de Truth Social, est en négociations avancées pour acquérir Bakkt, une plateforme de cryptoactifs. Découvrez les impacts de cette opération sur le marché et les ambitions crypto de l'ex-président.

Kaspersky et AFRIPOL : Un partenariat inédit pour sécuriser le cyberespace africain

Face à la hausse des cyberattaques, Kaspersky et AFRIPOL joignent leurs forces pour sécuriser le cyberespace africain. Un partenariat stratégique pour une Afrique numérique plus sûre.

OPPO Find X8 : Le smartphone ultime avec le processeur MediaTek Dimensity 9400 – Performances, IA et photo révolutionnaire

Découvrez la série OPPO Find X8, les premiers smartphones équipés du MediaTek Dimensity 9400. Alliant puissance, IA avancée et efficacité énergétique, ces appareils redéfinissent l'expérience mobile avec des performances de jeu, photo et connectivité révolutionnaires.

ASML : Une Croissance Soutenue par l’Intelligence Artificielle jusqu’en 2030

ASML prévoit une croissance exponentielle grâce à l'IA. Le leader mondial des machines EUV dévoile ses ambitions pour 2030.

Soutien stratégique des gouvernements japonais et sud-coréen à l’industrie des semi-conducteurs

Le Japon et la Corée du Sud renforcent leurs industries des semi-conducteurs avec des subventions massives et des projets de loi stratégiques pour contrer la concurrence mondiale et les menaces de droits de douane américains sous la présidence de Donald Trump.

Protégez vos enfants en ligne avec ESET Safe Kids : un guide complet

Assurez la sécurité de vos enfants sur Internet avec ESET Safe Kids. Découvrez nos conseils et astuces pour filtrer les contenus inappropriés, surveiller leur activité en ligne et leur apprendre à naviguer en toute sécurité.