Le lien avec la Corée du Nord Groupe Lazare a été lié à une attaque de cyberespionnage visant une entreprise aérospatiale anonyme en Espagne, au cours de laquelle des employés de l’entreprise ont été approchés par l’acteur menaçant se faisant passer pour un recruteur de Meta.
« Les employés de l’entreprise ciblée ont été contactés par un faux recruteur via LinkedIn et amenés à ouvrir un fichier exécutable malveillant se présentant comme un défi de codage ou un quiz », a déclaré Peter Kálnai, chercheur en sécurité chez ESET. dit dans un rapport technique partagé avec The Hacker News.
L’attaque fait partie d’une campagne de spear phishing de longue date appelée Operation Dream Job, orchestrée par l’équipe de hackers dans le but d’attirer les employés travaillant sur des cibles potentielles présentant un intérêt stratégique et de les attirer avec des opportunités d’emploi lucratives pour activer la chaîne d’infection. .
Plus tôt en mars, la société slovaque de cybersécurité a détaillé une vague d’attaques visant les utilisateurs de Linux qui impliquait l’utilisation de fausses offres d’emploi HSBC pour lancer une porte dérobée nommée SimplexTea.
L’objectif ultime de la dernière intrusion, conçue pour les systèmes Windows, est le déploiement d’un implant nommé LightlessCan.
« L’aspect le plus inquiétant de l’attaque est le nouveau type de charge utile, LightlessCan, un outil complexe et potentiellement évolutif qui présente un haut niveau de sophistication dans sa conception et son fonctionnement, et représente une avancée significative en termes de capacités malveillantes par rapport à son prédécesseur, BLINDINGCAN. « , a déclaré Kálnai.
BLINDINGCAN, également connu sous le nom d’AIRDRY ou ZetaNile, est un malware riche en fonctionnalités capable de collecter des informations sensibles sur des hôtes infiltrés.
Tout a commencé lorsque la cible a reçu un message sur LinkedIn d’un faux recruteur travaillant pour Meta Platforms, qui a ensuite envoyé deux défis de codage dans le cadre du prétendu processus d’embauche et a convaincu la victime d’exécuter les fichiers de test (nommés Quiz1.iso et Quiz2. iso) hébergé sur une plateforme de stockage cloud tierce.
ESET a déclaré que les fichiers ISO, qui contenaient les binaires malveillants Quiz1.exe et Quiz2.exe, ont été téléchargés et exécutés sur un appareil fourni par l’entreprise, ce qui a effectivement entraîné la compromission du système et la violation du réseau de l’entreprise.
Combattez l’IA avec l’IA – Combattez les cybermenaces avec des outils d’IA de nouvelle génération
Prêt à relever les nouveaux défis de cybersécurité basés sur l’IA ? Rejoignez notre webinaire perspicace avec Zscaler pour répondre à la menace croissante de l’IA générative dans la cybersécurité.
L’attaque ouvre la voie à un téléchargeur HTTP(S) appelé NickelLoader, qui permet aux attaquants de déployer n’importe quel programme souhaité dans la mémoire de l’ordinateur de la victime, y compris le cheval de Troie d’accès à distance LightlessCan et une variante de BLINDINGCAN appelée miniBlindingCan ( alias AIRDRY.V2).
LightlessCan prend en charge jusqu’à 68 commandes distinctes, bien que dans sa version actuelle, seules 43 de ces commandes soient implémentées avec certaines fonctionnalités. La principale responsabilité de tminiBlindingCan est de transmettre des informations système et de télécharger des fichiers récupérés à partir d’un serveur distant, entre autres.
Un trait remarquable de la campagne est l’utilisation de garde-fous d’exécution pour empêcher les charges utiles d’être déchiffrées et exécutées sur toute autre machine que celle de la victime prévue.
« LightlessCan imite les fonctionnalités d’un large éventail de commandes Windows natives, permettant une exécution discrète au sein du RAT lui-même au lieu d’exécutions bruyantes sur la console », a déclaré Kálnai. « Ce changement stratégique améliore la furtivité, rendant la détection et l’analyse des activités de l’attaquant plus difficiles. »
Le groupe Lazarus et d’autres groupes de menaces originaires de Corée du Nord ont été prolifiques ces derniers mois, ayant organisé des attaques couvrant les secteurs manufacturier et immobilier en Inde, les entreprises de télécommunications au Pakistan et en Bulgarie, ainsi que les entreprises gouvernementales, de recherche et de défense en Europe, au Japon, et les États-Unis, selon Kaspersky.