Une nouvelle campagne Lazarus considérée comme faisant partie de « l’Opération DreamJob » a été découverte ciblant pour la première fois les utilisateurs de Linux avec des logiciels malveillants.
Ce nouveau ciblage a été découvert par les chercheurs d’ESET, qui affirment qu’il permet également de confirmer avec une grande confiance que Lazarus a mené la récente attaque de la chaîne d’approvisionnement contre le fournisseur de VoIP 3CX.
L’attaque a été découverte en mars 2023, compromettant plusieurs entreprises qui utilisaient la version trojanisée du client 3CX avec des chevaux de Troie voleurs d’informations.
Lazarus était déjà soupçonné d’être responsable de l’attaque, tandis que plusieurs sociétés de cybersécurité ont convenu avec une grande confiance que l’acteur menaçant qui a créé le cheval de Troie 3CX était d’origine nord-coréenne.
Aujourd’hui, Mandiant a publié les résultats de son enquête sur la violation de 3CX, reliant davantage l’attaque aux acteurs nord-coréens de la menace.
Mandiant affirme que l’environnement de développement de 3CX a été compromis après qu’un employé ait installé un logiciel de trading de Trading Technologies, dont l’installateur avait été infecté par un cheval de Troie lors d’une autre attaque de la chaîne d’approvisionnement nord-coréenne.
Opération DreamJob sous Linux
L’opération DreamJob de Lazarus, également connue sous le nom de Nukesped, est une opération en cours ciblant les personnes qui travaillent dans des logiciels ou des plates-formes DeFi avec de fausses offres d’emploi sur LinkedIn ou d’autres médias sociaux et plates-formes de communication.
Ces attaques d’ingénierie sociale tentent d’amener les victimes à télécharger des fichiers malveillants déguisés en documents contenant des détails sur le poste proposé. Cependant, ces documents déposent plutôt des logiciels malveillants sur l’ordinateur de la victime.
Dans le cas découvert par ESET, Lazarus distribue une archive ZIP nommée « offre d’emploi HSBC.pdf.zip » par harponnage ou messages directs sur LinkedIn.
À l’intérieur de l’archive se cache un binaire Linux écrit en Go qui utilise un caractère Unicode sur son nom pour le faire apparaître comme un PDF.
« Il est intéressant de noter que l’extension de fichier n’est pas .pdf. C’est parce que le point apparent dans le nom de fichier est un point de repère représenté par le caractère Unicode U+2024 », explique ESET.
« L’utilisation du point de début dans le nom de fichier était probablement une tentative pour inciter le gestionnaire de fichiers à traiter le fichier comme un exécutable au lieu d’un PDF. »
« Cela pourrait entraîner l’exécution du fichier lors d’un double-clic au lieu de l’ouvrir avec une visionneuse PDF. »
Lorsque le destinataire double-clique sur le fichier pour le lancer, le logiciel malveillant, appelé « OdicLoader », affiche un PDF leurre tout en téléchargeant simultanément une charge utile de logiciel malveillant de deuxième étape à partir d’un référentiel privé hébergé sur le service cloud OpenDrive.
La charge utile de deuxième étape est une porte dérobée C++ appelée « SimplexTea », qui est déposée dans « ~/.config/guiconfigd. SimplexTea ».
OdicLoader modifie également le ~/.bash_profile de l’utilisateur pour s’assurer que SimplexTea est lancé avec Bash et que sa sortie est mise en sourdine chaque fois que l’utilisateur démarre une nouvelle session shell.
La connexion 3CX
Après analyse de SimplexTea, ESET a déterminé qu’il est très similaire en termes de fonctionnalités, de techniques de cryptage et d’infrastructure codée en dur utilisées avec le malware Windows de Lazarus nommé « BadCall », ainsi qu’avec la variante macOS appelée « SimpleSea ».
En outre, ESET a trouvé une variante antérieure du logiciel malveillant SimplexTea sur VirusTotal, nommée « sysnetd », qui est également similaire aux portes dérobées mentionnées mais écrite en C.
Cette variante antérieure charge sa configuration à partir d’un fichier nommé /tmp/vgauthsvclog, qui est utilisé par le service VMware Guest Authentication. Cela suggère que le système ciblé peut être une machine virtuelle Linux VMware.
Les analystes d’ESET ont également découvert que la porte dérobée sysnetd utilise une clé XOR précédemment découverte par l’enquête 3CX pour être utilisée par le malware SimpleSea.
« En examinant les trois entiers 32 bits, 0xC2B45678, 0x90ABCDEF et 0xFE268455 de la figure 5, qui représentent une clé pour une implémentation personnalisée du chiffrement A5/1, nous avons réalisé que le même algorithme et les mêmes clés étaient utilisées dans Un malware Windows qui remonte à la fin de 2014 et qui a été impliqué dans l’un des cas les plus notoires de Lazarus : le cybersabotage de Sony Pictures Entertainment », a expliqué ESET.
La clé XOR entre les charges utiles SimplexTea et SimpleSea diffère ; cependant, le fichier de configuration utilise le même nom, « apdl.cf ».
Le passage de Lazarus aux logiciels malveillants Linux et à l’attaque 3CX illustre leurs tactiques en constante évolution, prenant désormais en charge tous les principaux systèmes d’exploitation, y compris Windows et macOS.
Des attaques similaires de Lazarus Operation DreamJob ont conduit à un énorme succès pour les acteurs de la menace, leur permettant de voler 620 millions de dollars à Axie Infinity.
Le FBI a également confirmé que Lazarus était à l’origine du vol de 100 millions de dollars de crypto-monnaie du pont Harmony.
La récente attaque de la chaîne d’approvisionnement de Lazarus contre 3CX marque un autre succès retentissant pour le célèbre cybergang.