Des chercheurs d’ESET, l’une des principales sociétés européennes de solutions de cybersécurité, ont découvert et analysé une série d’outils malveillants utilisés par le groupe APT (menace persistante avancée) connu sous le nom de Lazarus lors de cyberattaques menées fin 2021.
La campagne a commencé par des messages de phishing envoyés par le groupe Lazarus, contenant des documents malveillants faisant référence à Amazon, dont les cibles étaient un employé d’une société aérospatiale aux Pays-Bas et un journaliste politique en Belgique.
Grupo Lazarus a utilisé des droppers, des loaders, des backdoors et des uploaders
L’objectif principal des attaquants était le vol de données. Les deux victimes ont été attirées par des offres d’emploi : l’employé aux Pays-Bas a reçu une pièce jointe via LinkedIn et le journaliste en Belgique a reçu un document par e-mail. Les attaques ont commencé après l’ouverture des documents.
Les attaquants ont chargé divers outils malveillants sur les systèmes, notamment des droppers, des chargeurs, des portes dérobées HTTP(S) et des téléchargeurs HTTP(S).
Le plus notable était un module qui a acquis la capacité de lire et d’écrire dans la mémoire du noyau en raison de la vulnérabilité CVE-2021-21551 dans un contrôleur Dell légitime. Cette vulnérabilité affecte les contrôleurs Dell DBUtil et a été corrigée par une mise à jour de sécurité de Dell en mai 2021. C’est la première fois que cette vulnérabilité est signalée comme ayant été exploitée dans un cas réel.
Les attaquants ont utilisé leur accès en écriture à la mémoire du noyau pour désactiver sept mécanismes fournis par le système d’exploitation Windows pour surveiller leurs actions, tels que le registre, le système de fichiers, la création de processus, le suivi des événements, etc. et de manière robuste.
Cela n’a pas seulement été fait dans l’espace du noyau, mais aussi de manière plus profonde, en utilisant une série de particularités peu ou non documentées de Windows. Cela nécessitait sans aucun doute des capacités avancées de recherche, de développement et d’analyse.
Le chercheur d’ESET Peter Kálnai, qui a découvert la campagne
Le groupe Lazarus a également utilisé une porte dérobée HTTP(S) connue sous le nom de BLINDINGCAN. Selon ESET, ce RAT (cheval de Troie d’accès à distance) possède un contrôleur complexe côté serveur ainsi qu’une interface utilisateur accessible à travers laquelle un opérateur peut contrôler et exploiter des systèmes compromis.
Dans le cas des Pays-Bas, l’attaque a touché un ordinateur Windows 10 connecté au réseau de l’entreprise, où l’employé a été contacté via LinkedIn au sujet d’une éventuelle offre d’emploi, ce qui a entraîné l’envoi d’une pièce jointe. Le fichier Word Amzon_Netherlands.docx envoyé à la victime consistait en un document vierge avec le logo Amazon qui récupérait un modèle distant lorsqu’il était ouvert, déclenchant l’attaque.
Les enquêteurs d’ESET n’ont pas pu acquérir le modèle distant, mais supposent qu’il contenait une fausse offre d’emploi pour le programme spatial Project Kuiper d’Amazon. C’est la méthode utilisée par le groupe Lazarus dans les campagnes Operation In(ter)ception et Operation DreamJob dont les cibles étaient les entreprises de l’industrie aérospatiale et de la défense. L’attaque en Belgique impliquait également un document Word joint nommé AWS_EMEA_Legal_.docx, mais il a été rapidement bloqué par les solutions anti-malware d’ESET installées sur l’ordinateur où le document a été ouvert.
Dans cette attaque, ainsi que dans de nombreuses autres attribuées au groupe Lazarus, nous avons constaté que de nombreux outils étaient distribués sur un seul terminal spécifique sur un réseau d’intérêt. Sans aucun doute, l’équipe derrière l’attaque est vaste, systématiquement organisée et très bien préparée.
référé à Peter Kalnai
Les chercheurs d’ESET attribuent ces attaques au groupe Lazarus avec une forte probabilité. Également connu sous le nom de HIDDEN COBRA, le groupe est actif depuis au moins 2009, étant responsable de plusieurs incidents très médiatisés.
Envie de vous détendre un peu ? Voici un reportage sur l’intelligence artificielle :
