ESET découvre une nouvelle campagne Lazarus visant les utilisateurs Linux
Publié le 21/04/2023 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
● Des chercheurs d'ESET ont découvert une nouvelle campagne Lazarus Operation DreamJob ciblant les utilisateurs de Linux.
● Operation DreamJob est le nom d'une série de campagnes où le groupe utilise des techniques d'ingénierie sociale pour compromettre ses cibles avec de fausses offres d'emploi comme leurre.
● ESET a reconstruit la chaîne complète, depuis le fichier ZIP qui fournit une fausse offre d'emploi de HSBC comme leurre jusqu'à la charge utile finale de la porte dérobée.
● Des similitudes avec cette nouvelle porte dérobée Linux la lient avec grande certitude à l'attaque de la chaîne d'approvisionnement 3CX. 3CX est un développeur et distributeur international de logiciels VoIP qui fournit des systèmes de téléphonie.
● 3CX a été compromis et son logiciel a été utilisé dans une attaque de la chaîne d'approvisionnement menée par les auteurs de menaces externes pour distribuer des logiciels malveillants supplémentaires à des clients 3CX spécifiques. L'attaque était planifiée depuis décembre 2022, longtemps d’avance.

BRATISLAVA, PRAGUE, le 21 avril 2023 — Des chercheurs d’ESET ont reconstitué la chaîne complète, depuis le fichier ZIP qui délivre une fausse offre d'emploi de HSBC comme leurre jusqu'à la charge utile finale: la porte dérobée SimplexTea Linux, distribuée via OpenDrive, un compte de stockage cloud. C'est la première fois que cet important acteur de menace, aligné sur la Corée du Nord, utilise un maliciel Linux dans le cadre de cette opération. Les similitudes avec ce malware Linux récemment découvert corroborent la théorie selon laquelle le tristement célèbre groupe aligné sur la Corée du Nord est à l'origine de l'attaque de la chaîne d'approvisionnement 3CX

« Cette nouvelle découverte fournit des preuves et renforce notre grande certitude dans le fait que la récente attaque de la chaîne d'approvisionnement 3CX a été menée par Lazarus - un lien suspecté dès le début et ensuite démontré par plusieurs chercheurs en sécurité», déclare Peter Kálnai, le chercheur d'ESET qui a enquêté sur les activités de Lazarus.

3CX est un développeur et distributeur international de logiciels VoIP qui fournit des services de systèmes téléphoniques à de nombreuses organisations. D’après son site Web, 3CX compte plus de 600 000 clients et 12 millions d'utilisateurs dans divers secteurs, dont l'aérospatiale, la santé et l'hospitalité. Il fournit un logiciel client pour utiliser ses systèmes via un navigateur Web, une appli mobile ou une appli de bureau. Fin mars 2023, on a découvert que l'appli de bureau pour Windows et macOS contenait un code malveillant qui permettait à un groupe d'attaquants de télécharger et d'exécuter du code arbitraire sur toutes les machines sur lesquelles l'appli était installée. 3CX a été compromis et son logiciel a été utilisé dans une attaque de la chaîne d'approvisionnement par des acteurs externes afin de distribuer des maliciels supplémentaires à des clients 3CX bien précis.

Les auteurs avaient planifié les attaques dès décembre 2022,bien avant leur exécution. Cela suggère qu'ils avaient déjà un pied dans le réseau de 3CX à la fin de l'année dernière. Plusieurs jours avant que l'attaque ne soit révélée publiquement, un mystérieux téléchargeur Linux a été soumis à VirusTotal. Il télécharge SimplexTea, une nouvelle porte dérobée Lazarus pour Linux, qui se connecte au même serveur Command & Control que les charges utiles impliquées dans la compromission 3CX.

«Ce logiciel compromis, déployé sur diverses infrastructures informatiques, permet le téléchargement et l'exécution de tout type de charge utile, pouvant avoir des effets dévastateurs. La furtivité d'une attaque de la chaîne d'approvisionnement rend cette méthode de distribution de maliciels très attrayante pour un attaquant et Lazarus a déjà utilisé cette technique dans le passé », explique Kálnai. "Il est aussi intéressant de savoir que Lazarus peut produire et utiliser des maliciels natifs pour tous les principaux systèmes d'exploitation de bureau : Windows, macOS et Linux", ajoute Marc-Etienne M.Léveillé, un chercheur d’ESET qui a contribué à cette mission.

Operation DreamJob est le nom d'une série de campagnes où Lazarus utilise des techniques d'ingénierie sociale pour compromettre ses cibles, avec de fausses offres d'emploi comme leurre. Le 20 mars dernier, un utilisateur de Géorgie a soumis à VirusTotal une archive ZIP intitulée HSBC job offer.pdf.zip. Compte tenu d’autres campagnes DreamJob de Lazarus, cette charge utile a probablement été distribuée par harponnage ou par messages directs sur LinkedIn. L'archive contient un seul fichier : un binaire Intel Linux natif 64 bits écrit en Go et nommé offre d'emploi HSBC․pdf.

Pour plus d'informations techniques sur cette nouvelle campagne Lazarus DreamJob et des liens vers l'attaque de la chaîne d'approvisionnement 3CX, consultez le blog “Linux malware strengthens links between Lazarus and the 3CX supply-chain attack” sur www.welivesecurity.com. Suivez aussi ESET Research on Twitter pour les toutes dernières nouvelles concernant les recherches d’ESET.

A propos d’ESET Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/

Poster un commentaire
Vous devez être identifié pour accéder à cette fonctionnalité

Utilisateur
Mot de passe
 
Informaticien.be - © 2002-2024 AkretioSPRL  - Generated via Kelare
The Akretio Network: Akretio - Freedelity - KelCommerce - Votre publicité sur informaticien.be ?