mer. Sep 28th, 2022

Dans une campagne, le groupe de hackers Lazarus a attaqué des fournisseurs d’énergie du monde entier pour accéder aux systèmes.

introduction

Selon Cisco Talos, le groupe de hackers Lazarus vise à infiltrer les organisations afin d’accéder à long terme à leurs systèmes et ainsi obtenir des données qui intéressent la Corée du Nord.

Ce printemps, le même groupe de hackers a mené des attaques à l’aide des outils Preft et NukeSped (lire aussi notre article précédent : Hack on Horizon Bridge), tandis que pour les attaques plus récentes, ils ont utilisé de nouveaux outils : VSingle et YamaBot. VSingle est un bot HTTP qui exécute du code arbitraire à partir d’un réseau distant et YamaBot est un programme Go qui installe des portes dérobées.

De même, Lazarus a déployé un nouveau cheval de Troie avec accès à distance : MagicRat. Cela a des propriétés supplémentaires qui sont utilisées pour échapper à la détection et charger plus de charges utiles dans le système infecté. Cela donne à Lazarus la capacité d’infiltrer les systèmes élémentaires sans être détectés et de les occuper de façon permanente.

Au milieu de cette année, le département d’État américain a débloqué 10 millions de dollars pour des pourboires sur le collectif de piratage : Lazarus : 10 millions de dollars de récompense promis.

Modèle d’attaque de Lazare

Il existe différentes méthodes utilisées par les attaquants, ci-dessous nous mettons en lumière deux de ces méthodes :
Chaîne d’attaque : tirer parti de VSingle
Utilisation de MagicRat avec VSingle

Dans les deux cas, le groupe de hackers Lazarus exploite les vulnérabilités des programmes, accède au système, puis installe des portes dérobées et d’autres logiciels malveillants pour détourner le système sans être remarqué.

Voir aussi  Morgan Stanley : des disques durs contenant des données clients mis aux enchères en ligne
Méthode d’attaque utilisant le VSingle de Lazarus : Image de Cisco Talos

VSingle dans la chaîne d’attaque

Le premier accès se fait par des vulnérabilités dans VMware, pour finalement donner aux attaquants un accès permanent et ainsi poursuivre les objectifs du gouvernement nord-coréen.
Un exemple est la manière dont VSingle a été utilisé : les attaquants ont pu effectuer une reconnaissance, une exfiltration et mettre en place manuellement des portes dérobées, acquérant ainsi une compréhension du système attaqué.

Chaîne d'attaque utilisant VSingle
Chaîne d’infection de VSingle : Image de Cisco Talos

MagicRat : le nouvel arrivage de Lazarus

MagicRat est un nouveau malware écrit en C++ et vivant dans les classes du Qt Framework. Ceci est apparemment fait exprès pour tromper les humains, l’IA et l’analyse heuristique. Parce que Qt Framework est en fait destiné aux interfaces utilisateur graphiques, mais MagicRat n’en a pas. De même, le nouveau malware est stocké dans le fichier nommé « visual.1991-06.com.microsoft_sd.kit » dans le chemin « ProgramDataWindowsSoftwareToolkit », selon Cisco Talos. Il s’agit de faire ressembler le logiciel malveillant à un fichier normal et de permettre à Lazarus un accès permanent au système.

Le groupe Lazarus utilise d’autres outils et tactiques, par ex. Par exemple, accéder aux données de connexion, désactiver les programmes antivirus et même supprimer les traces de votre attaque par la suite.

Cette nouvelle a été trouvée dans l’article en anglais : https://thehackernews.com.
L’article de presse original avec une analyse complète peut être trouvé ici : https://blog.talosintelligence.com