Cybersécurité : Le groupe Lazarus s’attaque au complexe militaro-industriel

Cybersécurité : Le groupe Lazarus s'attaque au complexe militaro-industriel

Le groupe de cybercriminels Lazarus a été lié à une nouvelle campagne malveillante prenant pour cible des géants du complexe militaro-industriel anglo-saxon. Le groupe de menaces persistantes avancées (APT) associé à la Corée du Nord s’est ainsi fait passer pour le groupe américain Lockheed Martin – actif dans les secteurs de l’aéronautique, la technologie militaire, les systèmes de mission et l’exploration spatiale – lors d’une récente opération.

Le 8 février, Akshat Pradhan, ingénieur principal de Qualys chargé de la recherche sur les menaces, a révélé une nouvelle campagne utilisant le nom de Lockheed Martin pour attaquer des candidats en recherche d’emploi. De manière similaire aux activités passées, qui ont abusé de la réputation de Northrop Grumman et BAE Systems, Lazarus envoie aux cibles des documents de phishing prétendant proposer des opportunités d’emploi.

Or, ces documents contiennent des fichiers dotés de macros malveillantes qui déclenchent un shellcode pour détourner le flux de contrôle, récupérer des documents leurres et créer des tâches programmées pour la persistance.

publicité

Un groupe très actif

Les binaires Living Off the Land (LOLBins) sont également utilisés de manière abusive pour compromettre davantage la machine cible. Cependant, lorsque les scripts malveillants tentent d’introduire une charge utile supplémentaire, une erreur est renvoyée, de sorte que Qualys ne peut pas être sûr de l’objectif final du paquet de logiciels malveillants. « Nous attribuons cette campagne à Lazarus, car il y a un chevauchement important dans le contenu des macros, le déroulement de la campagne et les thèmes de phishing des variantes que nous avons identifiés, ainsi que des variantes plus anciennes qui ont été attribuées à Lazarus par d’autres fournisseurs », explique Akshat Pradhan.

Ce n’est pas la première fois que Lazarus exploite des candidats à l’emploi ou des postes vacants. F-Secure a déjà trouvé des échantillons d’e-mails de phishing, se faisant passer pour des offres d’emploi, qui ont été envoyés à un administrateur système appartenant à une organisation de cryptomonnaie ciblée. Lazarus a récemment été citée par l’équipe de cybersécurité Blueliv d’Outpost2 comme le groupe de menaces persistantes le plus actif actuellement, en compagnie de Cobalt et de FIN7.

Pour rappel, Lazarus est un groupe de pirates informatiques parrainé par l’Etat et lié à la Corée du Nord. Ce groupe prolifique et sophistiqué est généralement motivé par des raisons financières et serait responsable d’attaques graves dans le passé, à commencer par l’épidémie de ransomware WannaCry, ainsi que du vol de 80 millions de dollars contre la banque du Bangladesh, d’attaques contre des sociétés de fret et des chaînes d’approvisionnement sud-coréennes.

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *