ESET Research découvre « Dream Job» une campagne menée par le groupe Lazarus et ciblant des utilisateurs de Linux

Les chercheurs d'ESET, 1er éditeur Européen de solutions de sécurité, ont découvert une nouvelle campagne «Operation DreamJob » menée par le groupe Lazarus ciblant des utilisateurs de Linux. Opération DreamJob, est le nom d'une série de campagnes qui utilisent des techniques d'ingénierie sociale pour compromettre leurs cibles, avec de fausses offres d'emploi comme appât. ESET a reconstitué la chaîne complète, depuis le fichier ZIP qui fournit une fausse offre d'emploi chez HSBC en guise de leurre jusqu'au malware final contenant la porte dérobée. Les similitudes observées dans cette porte dérobée, Linux la relient avec grande certitude à l'attaque contre la chaîne d'approvisionnement de 3CX.

L'entreprise a été piratée et son logiciel a été utilisé dans une attaque distribuant des malwares à des clients spécifiques via la chaîne d'approvisionnement de 3CX. L'attaque a été planifiée longtemps à l'avance, depuis le mois de décembre 2022.

ESET Research a pu reconstituer la chaîne complète, depuis le fichier ZIP qui contient une fausse offre d'emploi chez HSBC jusqu'au malware final : la porte dérobée Linux SimplexTea diffusée via un compte de stockage OpenDrive dans le Cloud. C'est la première fois que ce groupe de pirates affilié à la Corée du Nord utilise des malwares Linux. Les similitudes avec un malware Linux récemment découvert corroborent la théorie selon laquelle le groupe est à l'origine de l'attaque contre la chaîne d'approvisionnement de 3CX.

«Cette découverte fournit des preuves concordantes et renforce notre quasi-certitude que la récente attaque contre la chaîne d'approvisionnement de 3CX fut menée par Lazarus. Ce lien était soupçonné depuis le début et a été démontré par plusieurs chercheurs en sécurité depuis lors » déclare Peter Kálnai, le chercheur chez ESET qui enquête sur les activités de Lazarus.

3CX est un développeur et distributeur international de logiciels de VoIP qui fournit des services de téléphonie à de nombreuses organisations. Selon son site web, 3CX compte plus de 600 000 clients et 12 millions d'utilisateurs dans différents secteurs, notamment l'aérospatiale, la santé et l'hôtellerie. L'entreprise fournit un logiciel client permettant d'utiliser ses systèmes via un navigateur web, une application mobile ou une application de bureau. Fin mars 2023, un malware a été découvert dans l'application de bureau pour Windows et macOS. Il permettait à un groupe d'attaquants de transmettre et d'exécuter un code arbitraire sur toutes les machines où l'application était installée. 3CX a été piratée et son logiciel a été utilisé dans une attaque distribuant des malwares à des clients spécifiques via sa chaîne  d'approvisionnement.

Les auteurs avaient planifié les attaques bien avant leur exécution, dès décembre 2022. Cela suggère qu'ils avaient déjà pris pied dans le réseau de 3CX à la fin de l'année dernière. Plusieurs jours avant que l'attaque ne soit révélée publiquement, un mystérieux téléchargeur Linux a été soumis à VirusTotal. Il télécharge une nouvelle porte dérobée Lazarus pour Linux, appelée SimplexTea, qui se connecte au même serveur de commande et de contrôle que les malwares impliqués dans l'attaque contre 3CX.

«Ce logiciel compromis, déployé sur différentes infrastructures informatiques, permet de télécharger et d'exécuter n'importe quel type de malware, ce qui peut avoir des effets dévastateurs. La furtivité d'une attaque contre la chaîne d'approvisionnement rend cette méthode de diffusion de malwares très attrayante du point de vue d'un attaquant, et Lazarus a déjà utilisé cette technique par le passé, » explique M. Kálnai. « Il est également intéressant de noter que Lazarus est capable de produire et d'utiliser des malwares natifs pour les principaux systèmes d'exploitation de bureau : Windows, macOS et Linux, » ajoute Marc-Etienne M.Léveillé, chercheur chez ESET qui a participé à l'étude.

Le 20 mars, un utilisateur en Géorgie a soumis à VirusTotal une archive ZIP appelée « HSBC job offer.pdf.zip ». Compte tenu des autres campagnes, DreamJob menées par Lazarus, ce malware a probablement été distribué via des messages d'hameçonnage ciblé ou des messages directs sur LinkedIn. L'archive contient un seul fichier : un binaire Linux Intel 64 bits natif rédigé en Go et nommé « HSBC job offer.pdf ».