ESET Research découvre l’attaque « Operation DreamJob » qui cible des utilisateurs de Linux

Date:

  • Les chercheurs d’ESET ont découvert une nouvelle campagne « Operation DreamJob » menée par le groupe Lazarus ciblant des utilisateurs de Linux.
  • « Operation DreamJob » est le nom d’une série de campagnes qui utilisent des techniques d’ingénierie sociale pour compromettre leurs cibles, avec de fausses offres d’emploi comme appât.
  • ESET a reconstitué la chaîne complète, depuis le fichier ZIP qui fournit une fausse offre d’emploi chez HSBC en guise de leurre jusqu’au malware final contenant la porte dérobée.
  • Les similitudes observées dans cette porte dérobée Linux la relient avec grande certitude à l’attaque contre la chaîne d’approvisionnement de 3CX.
  • L’entreprise a été piratée et son logiciel a été utilisé dans une attaque distribuant des malwares à des clients spécifiques via la chaîne d’approvisionnement de 3CX. L’attaque a été planifiée longtemps à l’avance, depuis le mois de décembre 2022.

Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont découvert une nouvelle campagne « Operation DreamJob » menée par le groupe Lazarus ciblant des utilisateurs de Linux. ESET Research a pu reconstituer la chaîne complète, depuis le fichier ZIP qui contient une fausse offre d’emploi chez HSBC jusqu’au malware final : la porte dérobée Linux SimplexTea diffusée via un compte de stockage OpenDrive dans le Cloud. C’est la première fois que ce groupe de pirates affilié à la Corée du Nord utilise des malwares Linux. Les similitudes avec un malware Linux récemment découvert corroborent la théorie selon laquelle le groupe est à l’origine de l’attaque contre la chaîne d’approvisionnement de 3CX.

« Cette découverte fournit des preuves concordantes et renforce notre quasi-certitude que la récente attaque contre la chaîne d’approvisionnement de 3CX fut menée par Lazarus. Ce lien était soupçonné depuis le début et a été démontré par plusieurs chercheurs en sécurité depuis lors, » déclare Peter Kálnai, le chercheur chez ESET qui enquête sur les activités de Lazarus.

3CX est un développeur et distributeur international de logiciels de VoIP qui fournit des services de téléphonie à de nombreuses organisations. Selon son site web, 3CX compte plus de 600 000 clients et 12 millions d’utilisateurs dans différents secteurs, notamment l’aérospatiale, la santé et l’hôtellerie. L’entreprise fournit un logiciel client permettant d’utiliser ses systèmes via un navigateur web, une application mobile ou une application de bureau. Fin mars 2023, un malware a été découvert dans l’application de bureau pour Windows et macOS. Il permettait à un groupe d’attaquants de transmettre et d’exécuter un code arbitraire sur toutes les machines où l’application était installée. 3CX a été piratée et son logiciel a été utilisé dans une attaque distribuant des malwares à des clients spécifiques via sa chaîne d’approvisionnement.

Les auteurs avaient planifié les attaques bien avant leur exécution, dès décembre 2022. Cela suggère qu’ils avaient déjà pris pied dans le réseau de 3CX à la fin de l’année dernière. Plusieurs jours avant que l’attaque ne soit révélée publiquement, un mystérieux téléchargeur Linux a été soumis à VirusTotal. Il télécharge une nouvelle porte dérobée Lazarus pour Linux, appelée SimplexTea, qui se connecte au même serveur de commande et de contrôle que les malwares impliqués dans l’attaque contre 3CX.

« Ce logiciel compromis, déployé sur différentes infrastructures informatiques, permet de télécharger et d’exécuter n’importe quel type de malware, ce qui peut avoir des effets dévastateurs. La furtivité d’une attaque contre la chaîne d’approvisionnement rend cette méthode de diffusion de malwares très attrayante du point de vue d’un attaquant, et Lazarus a déjà utilisé cette technique par le passé, » explique M. Kálnai. « Il est également intéressant de noter que Lazarus est capable de produire et d’utiliser des malwares natifs pour les principaux systèmes d’exploitation de bureau : Windows, macOS et Linux, » ajoute Marc-Etienne M.Léveillé, chercheur chez ESET qui a participé à l’étude.

Operation DreamJob est le nom d’une série de campagnes du groupe Lazarus qui utilisent des techniques d’ingénierie sociale pour compromettre leurs cibles, avec de fausses offres d’emploi comme appât. Le 20 mars, un utilisateur en Géorgie a soumis à VirusTotal une archive ZIP appelée « HSBC job offer.pdf.zip ». Compte tenu des autres campagnes DreamJob menées par Lazarus, ce malware a probablement été distribué via des messages d’hameçonnage ciblé ou des messages directs sur LinkedIn. L’archive contient un seul fichier : un binaire Linux Intel 64 bits natif rédigé en Go et nommé « HSBC job offer.pdf ».

Pour plus d’informations techniques sur la dernière campagne DreamJob de Lazarus et ses liens avec l’attaque contre la chaîne d’approvisionnement de 3CX, consultez l’article « Linux malware strengthens links between Lazarus and the 3CX supply-chain attack » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.

Partager l'article:

Articles Recents

S'abonner

VIDÉOS SPONSORISÉES
VIDÉOS SPONSORISÉES

00:00:30

OPPO Reno12 : L’Alliance Parfaite entre Design, Intelligence Artificielle et Performance

Les séries Reno12 d'OPPO marquent une avancée significative dans le domaine de la photographie mobile grâce à l'intégration poussée de l'intelligence artificielle.
00:02:15

Abdelaziz Makhloufi, PDG de Cho Group, met en lumière l’excellence de l’huile d’olive tunisienne sur BFM Business

Fort de son expertise reconnue dans le secteur oléicole, Abdelaziz Makhloufi, Président-directeur général du groupe Cho, a saisi l'opportunité de l'émission BFM Business pour promouvoir l'huile d'olive tunisienne à l'échelle internationale.
00:00:32

Lancement du nouveau Huawei Nova Y61

Huawei Consumer Business Group annonce le lancement du HUAWEI nova Y61, le plus récent smartphone de la série HUAWEI nova Y.

CONTENUS SPONSORISÉS
CONTENUS SPONSORISÉS

Ramadan : Un Mois Propice pour rompre avec la cigarette

Le mois sacré de Ramadan offre une opportunité unique pour ceux qui désirent se libérer de l'emprise de la cigarette.

OPPO A78, le nouveau smartphone bientôt en Tunisie

OPPO, la marque leader sur le marché mondial des appareils connectés, vient d’annoncer l’arrivée sur le marché tunisien de son dernier smartphone A78, à partir du 1er septembre 2023.
00:03:27

OPPO Tunisie lance les nouveaux smartphones Reno8 T 4G, Reno8 T 5G, un design élégant et une fluidité totale

OPPO vient d’annoncer le lancement, en Tunisie, de ses derniers modèles de smartphones de la série Reno, les nouveaux Reno8 T et Reno8 T 5G, avec une offre spéciale durant tout le mois de mars 2023.

Oppo consolide sa position et met en avant la nouvelle technologie de son Reno7

OPPO, la marque internationale leader dans l’industrie des smartphones et des objets connectés, a développé ces dernières années sa position et ses activités en Tunisie, dans le cadre d’une extension sur les marchés de la région Moyen Orient et Afrique.

A lire également
A lire également

ESET renforce sa cybersécurité en s’intégrant à IBM QRadar et Microsoft Sentinel

ESET, acteur majeur de la cybersécurité, annonce une avancée...

L’IA de Samsung Anticipe Vos Besoins avec One UI 7

One UI 7 : la nouvelle interface Galaxy propulsée par l'IA. Personnalisation ultime, sécurité renforcée et une expérience mobile intuitive et immersive.

Xbox triomphe aux Game Awards 2024

Xbox triomphe aux Game Awards 2024 ! Découvrez la 1ère bande-annonce de gameplay de The Outer Worlds 2 (sortie 2025) et les récompenses de Senua’s Saga et Fallout.

OPPO Find X8 Pro : le smartphone officiel de l’UEFA Champions League 2024/25

OPPO et l'UEFA Champions League : une collaboration renforcée pour la saison 2024/25. L'OPPO Find X8 Pro capture les moments clés avec des légendes du football

Qualcomm célèbre le succès de son programme Make in Africa et dévoile les lauréats de l’édition 2024

Qualcomm célèbre l’achèvement de la deuxième année du programme de mentorat Make in Africa et annonce le lauréat de Wireless Reach

Alphabet propulse l’informatique quantique avec Willow

Alphabet s'envole en bourse grâce à sa nouvelle puce quantique Willow. Cette innovation ouvre la voie à une nouvelle ère de calcul et pourrait révolutionner notre quotidien.

ESET et OpenCTI : une alliance stratégique pour une cybersécurité renforcée

Découvrez comment l'intégration des flux de Cyber Threat Intelligence d'ESET dans OpenCTI permet aux entreprises d'améliorer leur détection des menaces, de prendre des décisions éclairées et de renforcer leur sécurité face aux cyberattaques. Bénéficiez d'une protection renforcée grâce à cette solution innovante.

Cybercriminalité en Afrique : Les sanctions frappent fort après l’opération Serengeti

L'Afrique ne laisse plus la cybercriminalité prospérer. Découvrez les sanctions infligées aux attaquants et les résultats de l'opération Serengeti.