Le groupe Lazarus ajoute un logiciel malveillant Linux à Arsenal dans Operation Dream Job


20 avril 2023Ravie LakshmananLinux / Cyberattaque

Le célèbre acteur parrainé par l’État aligné sur la Corée du Nord, connu sous le nom de Groupe Lazare a été attribuée à une nouvelle campagne destinée aux utilisateurs de Linux.

Les attaques font partie d’une activité persistante et de longue durée suivie sous le nom Opération Emploi de RêveESET a déclaré dans un nouveau rapport publié aujourd’hui.

Les résultats sont cruciaux, notamment parce qu’il s’agit du premier exemple publiquement documenté de l’adversaire utilisant des logiciels malveillants Linux dans le cadre de ce programme d’ingénierie sociale.

Opération Emploi de Rêve, également connu sous le nom de DeathNote ou NukeSped, fait référence à plusieurs vagues d’attaques dans lesquelles le groupe exploite des offres d’emploi frauduleuses comme leurre pour inciter des cibles sans méfiance à télécharger des logiciels malveillants. Il présente également des chevauchements avec deux autres clusters Lazarus connus sous le nom d’Operation In(ter)ception et d’Operation North Star.

La chaîne d’attaque découverte par ESET n’est pas différente en ce qu’elle fournit une fausse offre d’emploi HSBC comme leurre dans un fichier d’archive ZIP qui est ensuite utilisé pour lancer une porte dérobée Linux nommée SimplexTea distribuée via un compte de stockage en nuage OpenDrive.

Logiciels malveillants Linux

Bien que la méthode exacte utilisée pour distribuer le fichier ZIP ne soit pas connue, il est soupçonné d’être soit du harponnage, soit des messages directs sur LinkedIn. La porte dérobée, écrite en C++, présente des similitudes avec MAUVAIS APPELun cheval de Troie Windows précédemment attribué au groupe.

En outre, ESET a déclaré avoir identifié des points communs entre les artefacts utilisés dans la campagne Dream Job et ceux découverts dans le cadre de la attaque de la chaîne d’approvisionnement sur le développeur de logiciels VoIP 3CX qui a été révélé le mois dernier.

WEBINAIRE À VENIR

Défendre avec tromperie : Faire progresser la sécurité Zero Trust

Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !

Sauvez ma place !

Cela inclut également le domaine de commande et de contrôle (C2) “journalide[.]org”, qui a été répertorié comme l’un des quatre serveurs C2 utilisés par les familles de malwares détectés dans l’environnement 3CX.

Il semble que les préparatifs de l’attaque de la chaîne d’approvisionnement soient en cours depuis décembre 2022, lorsque certains des composants ont été affectés à la plate-forme d’hébergement de code GitHub.

Les résultats renforcent non seulement le lien existant entre le groupe Lazarus et le compromis 3CX, mais démontrent également le succès continu de l’acteur menaçant avec la mise en scène d’attaques de la chaîne d’approvisionnement depuis 2020.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.





ttn-fr-57