● Les chercheurs d'ESET découvrent une attaque de Lazarus contre une entreprise aérospatiale espagnole. Lazarus est un groupe de menace persistante avancée (APT) lié à la Corée du Nord.
● Des employés de l'entreprise ciblée ont été contactés par un faux recruteur via LinkedIn et amenés à ouvrir un fichier malveillant se présentant comme un défi de codage ou un quiz.
● La charge utile la plus importante est la porte dérobée LightlessCan, dont les techniques empêchent la détection par un logiciel de surveillance de sécurité en temps réel et l'analyse par les professionnels de la cyber-sécurité.
● Le but final de l'attaque était du cyber-espionnage.

BRATISLAVA, PRAGUE — Le 29 septembre 2023 — Les chercheurs d'ESET ont découvert une attaque Lazarus contre une entreprise aérospatiale espagnole. Le groupe a déployé plusieurs outils, dont la porte dérobée découverte récemment et nommée LightlessCan par ESET. Les opérateurs du groupe Lazarus, lié à la Corée du Nord, ont pu accéder une première fois au réseau de l’entreprise l’an dernier après une campagne de spearphishing réussie, se faisant passer pour un recruteur de Meta – la société derrière Facebook, Instagram et WhatsApp. Leur but final était le cyber-espionnage.

« L'aspect le plus inquiétant de l'attaque est LightlessCan, le nouveau type de charge utile, outil complexe et potentiellement évolutif de haut niveau de sophistication dans sa conception et dans son fonctionnement. Il représente une avancée significative en capacités malveillantes par rapport à son prédécesseur, BlindingCan », explique Peter Kálnai, le chercheur d'ESET qui a fait la découverte.

Le faux recruteur a contacté la victime via LinkedIn Messaging, une fonctionnalité de la plate-forme LinkedIn, et lui a envoyé deux défis de codage soi-disant nécessaires lors d'un processus d'embauche. La victime les a téléchargés et exécutés sur un appareil de l'entreprise. ESET Research a reconstitué les étapes d'accès et analysé les outils utilisés par Lazarus en coopérant avec l'entreprise aérospatiale concernée. Le groupe a ciblé plusieurs employés de l’entreprise.

Lazarus a fourni diverses charges utiles aux systèmes des victimes ; le plus important est un cheval de Troie d'accès à distance (RAT), sophistiqué et encore non documenté, qu’ESET a nommé LightlessCan. Ce cheval de Troie imite les fonctionnalités de nombreuses commandes natives Windows, souvent utilisées de manière abusive par les attaquants et permettant une exécution discrète au sein même du RAT au lieu d'exécutions bruyantes sur la console. Cette stratégie améliore la furtivité, rendant la détection et l’analyse des activités de l’attaquant plus difficiles.

Un mécanisme pour minimiser l’exposition est l’emploi de garde-fous d’exécution : Lazarus a fait que la charge utile ne se déchiffre que sur la machine de la victime. Ces garde-fous sont un ensemble de protocoles et de mécanismes de protection utilisés pour protéger l'intégrité et la confidentialité de la charge utile lors de son déploiement et de son exécution. Ils empêchent efficacement le décryptage sur des machines non ciblées, telles que celles des chercheurs en sécurité.

LightlessCan prend en charge jusqu'à 68 commandes différentes, mais dans la version actuelle, 1.0, seules 43 de ces commandes sont implémentées avec certaines fonctionnalités. ESET a identifié quatre chaînes d'exécution différentes, fournissant trois types de charges utiles.

Le groupe Lazarus (aussi appelé HIDDEN COBRA) est un groupe de cyber-espionnage lié à la Corée du Nord, actif depuis au moins 2009. La diversité, le nombre et l'excentricité dans la mise en œuvre des campagnes Lazarus définissent ce groupe, utilisant les trois piliers de la cybercriminalité : cyber-espionnage, cyber-sabotage et gains financiers. Les entreprises aérospatiales ne sont pas une cible inhabituelle pour les groupes APT alignés sur la Corée du Nord. Le pays a procédé à plusieurs essais de missiles qui violent les résolutions du Conseil de Sécurité des Nations Unies.

Pour plus d'informations techniques sur Lazarus, sa dernière attaque et la porte dérobée LightlessCan, consultez le blog “Lazarus luring employees with trojanized coding challenges: The case of a Spanish aerospace company » sur WeLiveSecurity. ESET Research présentera les résultats de cette attaque le 4 octobre 2023, lors de la conférence Virus Bulletin. Suivez aussi ESET Research sur Twitter (aujourd'hui sous le nom de X) pour connaître les dernières nouvelles d'ESET Research.

A propos d’ESET

Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/