La Corée du Nord liée Groupe Lazare a été observé militarisant des failles dans un logiciel non divulgué pour violer une entité commerciale financière en Corée du Sud deux fois en l’espace d’un an.
Alors que la première attaque de mai 2022 impliquait l’utilisation d’une version vulnérable d’un logiciel de certificat largement utilisé par les institutions publiques et les universités, la réinfiltration d’octobre 2022 impliquait l’exploitation d’un zero-day dans le même programme.
Société de cybersécurité AhnLab Security Emergency Response Center (ASEC) a dit il s’abstient de mentionner le logiciel car « la vulnérabilité n’a pas encore été entièrement vérifiée et aucun correctif logiciel n’a été publié ».
Le collectif contradictoire, après avoir pris pied par une méthode inconnue, a abusé du bogue du jour zéro pour effectuer un mouvement latéral, peu de temps après, le moteur anti-malware AhnLab V3 a été désactivé via une attaque BYOVD.
Il convient de noter ici que la technique Bring Your Own Vulnerable Driver, alias BYOVD, a été utilisée à plusieurs reprises par le groupe Lazarus ces derniers mois, comme l’ont documenté à la fois ESET et AhnLab dans une série de rapports à la fin de l’année dernière.
Parmi les autres étapes pour dissimuler son comportement malveillant, citons la modification des noms de fichiers avant de les supprimer et la modification des horodatages à l’aide d’une technique anti-légale appelée horodatage.
L’attaque a finalement ouvert la voie à plusieurs charges utiles de porte dérobée (Keys.dat et Settings.vwx) conçues pour se connecter à un serveur de commande et de contrôle (C2) distant, récupérer des fichiers binaires supplémentaires et les exécuter sans fichier.
Découvrez les dernières tactiques d’évasion et stratégies de prévention des logiciels malveillants
Prêt à briser les 9 mythes les plus dangereux sur les attaques basées sur des fichiers ? Rejoignez notre prochain webinaire et devenez un héros dans la lutte contre les infections du patient zéro et les événements de sécurité du jour zéro !
Le développement intervient une semaine après qu’ESET a fait la lumière sur un nouvel implant appelé WinorDLL64 qui est déployé par l’acteur de la menace notoire au moyen d’un chargeur de logiciels malveillants nommé Wslink.
« Le groupe Lazarus recherche les vulnérabilités de divers autres logiciels et modifie constamment ses TTP en modifiant la façon dont il désactive les produits de sécurité et applique des techniques anti-légales pour interférer ou retarder la détection et l’analyse afin d’infiltrer les institutions et les entreprises coréennes », dit l’ASEC.