Un journaliste politique belge et une entreprise aérospatiale aux Pays-Bas ciblés par Lazarus pour voler des données – une découverte d’ESET
Publié le 30/09/2022 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Les deux victimes ont reçu des offres d'emploi - la personne en Belgique a reçu un document par e-mail et l'employé aux Pays-Bas a reçu une pièce jointe via LinkedIn Messaging. Les attaques ont commencé après l'ouverture de ces documents. Les attaquants ont déployé plusieurs outils malveillants sur le système, notamment des droppers, des chargeurs, des portes dérobées HTTPS complètes et des télé-chargeurs HTTPS.

L'outil le plus remarquable fourni par les attaquants était un module en mode utilisateur qui a acquis la capacité de lire et d'écrire dans la mémoire du noyau en raison de la vulnérabilité CVE-2021-21551 dans un pilote Dell légitime. Cette vulnérabilité affecte les pilotes Dell DBUtil. Une mise à jour sécuritaire a été fournie par Dell en mai 2021. Il s'agit du tout premier abus de cette vulnérabilité enregistré in-the-wild.

"Les attaquants ont ensuite utilisé leur accès d‘écriture dans la mémoire du noyau pour désactiver sept mécanismes proposés par le système d'exploitation Windows pour surveiller ses actions, tels que le registre, le système de fichiers, la création de processus, le suivi des événements, etc., aveuglant essentiellement les solutions de sécurité d'une manière très générique et robuste, ” explique Peter Kálnai, le chercheur d'ESET qui a découvert cette campagne. «Cela n'a pas seulement été fait dans le noyau, mais aussi de manière robuste, en utilisant une série d'éléments Windows internes peu ou pas documentés. Il n’y a pas de doute que cela nécessitait des compétences approfondies en matière de recherche, de développement et de test », a t-il ajouté.

Lazarus a aussi utilisé une porte dérobée HTTP(S) connue sous le nom de BLINDINGCAN. ESET pense que ce cheval de Troie d'accès à distance (remote access trojan - RAT) possède un contrôleur complexe côté serveur avec une interface conviviale à travers laquelle l'opérateur peut contrôler et explorer les systèmes compromis.

Aux Pays-Bas, l'attaque a touché un ordinateur Windows 10 connecté au réseau d’entreprise, où un employé a été contacté via LinkedIn Messaging au sujet d'un nouvel emploi potentiel. Ceci a entraîné l'envoi d'un e-mail avec un document en pièce jointe. Le fichier Word Amzon_Netherlands.docx envoyé à la victime n'est qu'un document schématique avec un logo Amazon. Les chercheurs d'ESET n'ont pas pu en obtenir le contenu, mais ils supposent qu'il s’agissait d’une offre d'emploi pour le Project Kuiper du programme spatial Amazon. C'est une méthode que Lazarus a pratiquée dans les campagnes Operation In(ter)ception et Operation DreamJob ciblant les industries aérospatiales et de défense.

En fonction du nombre de codes de commande disponibles pour l'opérateur, il est probable qu'un contrôleur côté serveur soit disponible pour que l'opérateur puisse contrôler et explorer les systèmes compromis. Parmi les plus de deux douzaines de commandes disponibles, citons : charger, télécharger, réécrire et supprimer des fichiers et faire une capture d'écran.
«Dans cette attaque, ainsi que dans des tas d’autres attribuées à Lazarus, nous avons vu que de nombreux outils étaient parfois distribués rien que sur un seul terminal ciblé dans un réseau intéressant. Il n’y a pas de doute que l'équipe derrière l'attaque est assez grande, bien organisée et parfaitement préparée », a déclaré Kálnai.

ESET Research attribue, avec grande certitude, ces attaques à Lazarus. La diversité, le nombre et l'excentricité dans la mise en œuvre des campagnes Lazarus sont propres à ce groupe, ainsi que le fait qu'il exécute les trois piliers des activités cybercriminelles : cyber-espionnage, cyber-sabotage et gains financiers. Lazarus (également connu sous le nom de HIDDEN COBRA) est actif depuis au moins 2009. Il est responsable de plusieurs incidents fort médiatisés.

Cette recherche est présentée à la conférence Virus Bulletin (Virus Bulletin conference) de cette année. Des informations détaillées sont disponibles dans le livre blanc « Lazarus & BYOVD : Evil to the Windows core ».

Pour plus d'informations techniques sur la dernière attaque de Lazarus, consultez le blog “Amazon-themed campaigns of Lazarus in the Netherlands and Belgium” sur WeLiveSecurity. Suivez également ESET Research sur Twitter pour les dernières nouvelles d'ESET Research.

A propos d’ESET Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/ .

Poster un commentaire
Vous devez être identifié pour accéder à cette fonctionnalité

Utilisateur
Mot de passe
 
Informaticien.be - © 2002-2024 AkretioSPRL  - Generated via Kelare
The Akretio Network: Akretio - Freedelity - KelCommerce - Votre publicité sur informaticien.be ?