L’acteur menaçant du groupe Lazarus a été observé en train d’exploiter de fausses applications de crypto-monnaie comme leurre pour fournir une version auparavant non documentée du malware AppleJeus, selon de nouvelles découvertes de Volexity.
« Cette activité implique notamment une campagne ciblant probablement les utilisateurs et les organisations de crypto-monnaie avec une variante du malware AppleJeus via des documents Microsoft Office malveillants », ont déclaré les chercheurs Callum Roxan, Paul Rascagneres et Robert Jan Mora. a dit.
Le gouvernement nord-coréen est connu pour adopter une approche à trois volets en utilisant une cyberactivité malveillante orchestrée pour collecter des renseignements, mener des attaques et générer des revenus illicites pour le pays frappé par les sanctions. Les menaces sont collectivement traquées sous le nom Groupe Lazare (alias Hidden Cobra ou Zinc).
« La Corée du Nord a mené des vols informatiques contre des institutions financières et des échanges de crypto-monnaie dans le monde entier, volant potentiellement des centaines de millions de dollars, probablement pour financer les priorités du gouvernement, telles que ses programmes nucléaires et de missiles », selon l’évaluation annuelle des menaces 2021 publiée par les agences de renseignement américaines.
Plus tôt en avril, la Cybersecurity and Infrastructure Security Agency (CISA) a mis en garde contre un cluster d’activités appelé TraderTraitor qui cible les échanges de crypto-monnaie et les sociétés de négoce via des applications cryptographiques trojanisées pour Windows et macOS.
Alors que les attaques de TraderTraitor aboutissent au déploiement du cheval de Troie d’accès à distance Manuscrypt, la nouvelle activité utilise un supposé site Web de crypto-trading nommé BloxHolder, un imitateur de la plate-forme légitime HaasOnline, pour fournir AppleJeus via un fichier d’installation.
AppleJeus, documenté pour la première fois par Kaspersky en 2018, est conçu pour collecter des informations sur le système infecté (c’est-à-dire l’adresse MAC, le nom de l’ordinateur et la version du système d’exploitation) et télécharger le shellcode à partir d’un serveur de commande et de contrôle (C2).
La chaîne d’attaque aurait subi une légère déviation en octobre 2022, l’adversaire passant des fichiers d’installation MSI à un document Microsoft Excel piégé qui utilise des macros pour télécharger une charge utile hébergée à distance, une image PNG, depuis OpenDrive.
L’idée derrière le commutateur est susceptible de réduire la détection statique par les produits de sécurité, a déclaré Volexy, ajoutant qu’il ne pouvait pas obtenir le fichier image (« Background.png ») à partir du lien OpenDrive, mais a noté qu’il intègre trois fichiers, y compris une charge utile codée qui est ensuite extrait et lancé sur l’hôte compromis.
« Le groupe Lazarus poursuit ses efforts pour cibler les utilisateurs de crypto-monnaie, malgré l’attention continue portée à leurs campagnes et tactiques », ont conclu les chercheurs.