Le célèbre acteur parrainé par l’État aligné sur la Corée du Nord, connu sous le nom de Groupe Lazare a été attribuée à une nouvelle campagne destinée aux utilisateurs de Linux.
Les attaques font partie d’une activité persistante et de longue durée suivie sous le nom Opération Emploi de RêveESET a déclaré dans un nouveau rapport publié aujourd’hui.
Les résultats sont cruciaux, notamment parce qu’il s’agit du premier exemple publiquement documenté de l’adversaire utilisant des logiciels malveillants Linux dans le cadre de ce programme d’ingénierie sociale.
Opération Emploi de Rêve, également connu sous le nom de DeathNote ou NukeSped, fait référence à plusieurs vagues d’attaques dans lesquelles le groupe exploite des offres d’emploi frauduleuses comme leurre pour inciter des cibles sans méfiance à télécharger des logiciels malveillants. Il présente également des chevauchements avec deux autres clusters Lazarus connus sous le nom d’Operation In(ter)ception et d’Operation North Star.
La chaîne d’attaque découverte par ESET n’est pas différente en ce qu’elle fournit une fausse offre d’emploi HSBC comme leurre dans un fichier d’archive ZIP qui est ensuite utilisé pour lancer une porte dérobée Linux nommée SimplexTea distribuée via un compte de stockage en nuage OpenDrive.
Bien que la méthode exacte utilisée pour distribuer le fichier ZIP ne soit pas connue, il est soupçonné d’être soit du harponnage, soit des messages directs sur LinkedIn. La porte dérobée, écrite en C++, présente des similitudes avec MAUVAIS APPELun cheval de Troie Windows précédemment attribué au groupe.
En outre, ESET a déclaré avoir identifié des points communs entre les artefacts utilisés dans la campagne Dream Job et ceux découverts dans le cadre de la attaque de la chaîne d’approvisionnement sur le développeur de logiciels VoIP 3CX qui a été révélé le mois dernier.
Défendre avec tromperie : Faire progresser la sécurité Zero Trust
Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !
Cela inclut également le domaine de commande et de contrôle (C2) “journalide[.]org”, qui a été répertorié comme l’un des quatre serveurs C2 utilisés par les familles de malwares détectés dans l’environnement 3CX.
Il semble que les préparatifs de l’attaque de la chaîne d’approvisionnement soient en cours depuis décembre 2022, lorsque certains des composants ont été affectés à la plate-forme d’hébergement de code GitHub.
Les résultats renforcent non seulement le lien existant entre le groupe Lazarus et le compromis 3CX, mais démontrent également le succès continu de l’acteur menaçant avec la mise en scène d’attaques de la chaîne d’approvisionnement depuis 2020.