Le groupe Lazarus exploite des failles Log4j pour installer des chevaux de Troie d’accès à distance

La société a été créée par un groupe d’experts en matière de gestion des ressources humaines.

Le célèbre acteur de menace lié à la Corée du Nord, connu sous le nom de Lazarus Group, a été attribué à une nouvelle campagne mondiale qui implique l’exploitation opportuniste de failles de sécurité dans Log4j pour déployer des trojans d’accès à distance (RAT) précédemment non documentés sur des hôtes compromis.

Cisco Talos suit les activités du groupe Lazarus Group depuis au moins 2023 et est connu pour cibler des entités aux États-Unis, en Corée du Sud et au Japon.
Cisco Talos suit l’activité sous le nom d’Opération Blacksmith, notant l’utilisation de trois familles de logiciels malveillants basés sur DLang, y compris un RAT appelé NineRAT qui exploite Telegram pour le commandement et le contrôle (C2), DLRAT, et un téléchargeur appelé BottomLoader.

Cisco Talos suit l’activité sous le nom d’Opération Blacksmith.

Les chaînes d’attaque impliquent l’utilisation d’un réseau d’ordinateurs et d’autres dispositifs d’accès.

NineRAT a été développé pour la première fois vers mai 2022 et a été utilisé dès mars 2023 dans une attaque visant une organisation agricole sud-américaine ; il a été utilisé à nouveau en septembre 2023 sur une entité manufacturière européenne. En utilisant un service de messagerie légitime pour les communications C2 – en l’occurrence Telegram – l’objectif est d’échapper à la détection.

Le logiciel malveillant agit comme principal moyen d’interaction avec le(s) terminal(aux) infecté(s), permettant aux attaquants d’envoyer des commandes qui recueillent des informations sur le système, téléchargent des fichiers, téléchargent des fichiers supplémentaires, se désinstallent ou se mettent à jour.
« Une fois que NineRAT est activée, elle accepte des commandes préliminaires provenant de canaux C2 basés sur Telegram, ce qui permet à nouveau de prendre l’empreinte des systèmes infectés », notent les chercheurs.
« Le fait de relever à nouveau les empreintes digitales des systèmes infectés indique que les données collectées par Lazarus via NineRAT peuvent être partagées par d’autres groupes APT et résident essentiellement dans un référentiel différent des données d’empreintes digitales collectées initialement par Lazarus au cours de sa phase d’accès initial et de déploiement d’implants. » Le groupe Kimsuky, qui se compose d’Erald Sleet (anciennement Thallium), Nickel Kimball et Velvet Chollima, est un élément opérant sous l’égide du Bureau général de reconnaissance (RGB) de la Corée du Nord. Il a été sanctionné par le département du Trésor américain le 30 novembre 2023 pour avoir recueilli des renseignements en vue de soutenir les objectifs stratégiques du régime.

« Après avoir pris le contrôle du système infecté, le groupe Kimsuky installe divers logiciels malveillants, tels que des enregistreurs de frappe et des outils permettant d’extraire des comptes et des cookies des navigateurs web, afin d’exfiltrer des informations », indique l’ASEC dans une analyse publiée la semaine dernière.

Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’actualités, d’idées et de conseils en matière de cybersécurité.