Le groupe Lazarus cible les experts en défense ?

Le groupe Lazarus (alias Hidden Cobra ou TEMP.Hermit), lié à la Corée du Nord, a été observé en train d’utiliser des versions trojanisées d’applications VNC (Virtual Network Computing) comme appâts pour cibler l’industrie de la défense et les ingénieurs nucléaires dans le cadre d’une campagne de longue haleine connue sous le nom d’opération « Dream Job ».

 » L’acteur de la menace incite les demandeurs d’emploi sur les médias sociaux à ouvrir des applis malveillantes pour de faux entretiens d’embauche « , indique Kaspersky dans son rapport sur les tendances APT pour le troisième trimestre 2023.

« Pour éviter d’être détectée par les solutions de sécurité basées sur le comportement, cette application backdoored fonctionne discrètement, ne s’activant que lorsque l’utilisateur sélectionne un serveur dans le menu déroulant du client VNC trojanisé. »

Une fois lancée par la victime, l’application contrefaite est conçue pour récupérer d’autres charges utiles, notamment un logiciel malveillant connu du Lazarus Group, baptisé LPEClient, qui est doté de capacités permettant d’établir le profil des hôtes compromis. L’adversaire a également déployé une version mise à jour de COPPERHEDGE, une porte dérobée connue pour exécuter des commandes arbitraires, effectuer une reconnaissance du système et exfiltrer des données, ainsi qu’un logiciel malveillant spécialement conçu pour transmettre des fichiers intéressants à un serveur distant.
Les cibles de la dernière campagne sont des entreprises directement impliquées dans la fabrication de matériel de défense, notamment des systèmes radar, des drones, des véhicules militaires, des navires, de l’armement et des entreprises maritimes.
L’opération Dream Job fait référence à une série d’attaques orchestrées par l’organisation de piratage nord-coréenne, dans le cadre desquelles des cibles potentielles sont contactées via des comptes suspects sur diverses plateformes telles que LinkedIn, Telegram et WhatsApp, sous prétexte d’offrir des opportunités d’emploi lucratives afin de les inciter à installer des logiciels malveillants.
À la fin du mois dernier, ESET a révélé les détails d’une attaque du Lazarus Group visant une entreprise aérospatiale espagnole dont le nom n’a pas été dévoilé. Les employés de l’entreprise ont été contactés par l’acteur de la menace qui s’est fait passer pour un recruteur de Meta sur LinkedIn afin de leur livrer un implant nommé LightlessCan.

Lazarus Group n’est que l’un des nombreux programmes offensifs originaires de Corée du Nord qui ont été associés au cyberespionnage et à des vols à motivation financière. L’APT37 (alias ScarCruft) est une autre équipe de pirates de premier plan, qui fait partie du ministère de la sécurité de l’État, contrairement à d’autres groupes d’activités menaçantes – à savoir l’APT43 (alias Kimsuky) et le Lazarus Group (et ses sous-groupes Andariel et BlueNoroff) – qui sont affiliés au Bureau général de la reconnaissance (RGB).

« Alors que différents groupes de menaces partagent des outils et du code, les menaces nord-coréennes continuent de s’adapter et de changer pour créer des logiciels malveillants sur mesure pour différentes plateformes, y compris Linux et macOS », a révélé Mandiant, une société appartenant à Google, au début du mois, en soulignant leur évolution en termes d’adaptabilité et de complexité. ScarCruft, selon Kaspersky, a ciblé une société commerciale liée à la Russie et à la Corée du Nord en utilisant une nouvelle chaîne d’attaques par hameçonnage qui a abouti à la livraison du logiciel malveillant RokRAT (alias BlueLight), soulignant les tentatives actuelles du royaume ermite de cibler la Russie.

 

En outre, une autre évolution notable est le chevauchement des outils de ciblage des infrastructures entre diverses organisations de piratage nord-coréennes, comme Andariel APT38 Lazarus Group APT43, ce qui brouille les efforts d’attribution en soulignant la rationalisation des activités adverses. Cette évolution s’est également accompagnée d’un « intérêt accru pour le développement de plates-formes de portes dérobées de logiciels malveillants macOS et de cibles de grande valeur dans les industries de la crypto-monnaie et de la chaîne de blocs », a déclaré Mandiant.

Partager:

Les dernières actualités :