Le célèbre acteur menaçant lié à la Corée du Nord, connu sous le nom de Groupe Lazare a été attribué à une nouvelle campagne mondiale qui implique l’exploitation opportuniste des failles de sécurité de Log4j pour déployer des chevaux de Troie d’accès à distance (RAT) jusqu’alors non documentés sur des hôtes compromis.
Cisco Talos suit l’activité sous le nom d’Operation Blacksmith, notant l’utilisation de trois familles de logiciels malveillants basés sur DLang, dont un RAT appelé NineRAT qui exploite Telegram pour le commandement et le contrôle (C2), DLRAT et un téléchargeur baptisé BottomLoader.
La société de cybersécurité a décrit les dernières tactiques de l’adversaire comme un changement définitif et qu’elles chevauchent le cluster largement suivi comme Andariel (alias Onyx Sleet ou Silent Chollima), un sous-groupe au sein de Lazarus.
« Andariel est généralement chargé de l’accès initial, de la reconnaissance et de l’établissement d’un accès à long terme à des fins d’espionnage pour soutenir les intérêts nationaux du gouvernement nord-coréen », ont déclaré les chercheurs de Talos, Jung soo An, Asheer Malhotra et Vitor Ventura, dans un rapport technique. rapport partagé avec The Hacker News.
Les chaînes d’attaque impliquent l’exploitation de CVE-2021-44228 (alias Log4Shell) contre des serveurs VMWare Horizon accessibles au public pour fournir NineRAT. Certains des principaux secteurs ciblés comprennent l’industrie manufacturière, l’agriculture et la sécurité physique.
Déchiffrer le code : découvrez comment les cyberattaquants exploitent la psychologie humaine
Vous êtes-vous déjà demandé pourquoi l’ingénierie sociale est si efficace ? Plongez en profondeur dans la psychologie des cyberattaquants dans notre prochain webinaire.
L’abus de Log4Shell n’est pas surprenant étant donné que 2,8 % des applications utilisent toujours des versions vulnérables de la bibliothèque (de 2.0-beta9 à 2.15.0) après deux ans de divulgation publique, selon Véracodeet 3,8 % supplémentaires utilisent Log4j 2.17.0, qui, bien que non vulnérable au CVE-2021-44228, est sensible au CVE-2021-44832.
NineRAT, développé pour la première fois vers mai 2022, aurait été utilisé dès mars 2023 dans une attaque visant une organisation agricole sud-américaine, puis de nouveau en septembre 2023 contre une entité manufacturière européenne. En utilisant un service de messagerie légitime pour les communications C2, l’objectif est d’échapper à la détection.
Le malware agit comme le principal moyen d’interaction avec le point final infecté, permettant aux attaquants d’envoyer des commandes pour collecter des informations système, télécharger des fichiers d’intérêt, télécharger des fichiers supplémentaires et même se désinstaller et se mettre à niveau.
« Une fois activé, NineRAT accepte les commandes préliminaires du canal C2 basé sur les télégrammes, pour identifier à nouveau les systèmes infectés », ont noté les chercheurs.
« La nouvelle empreinte digitale des systèmes infectés indique que les données collectées par Lazarus via NineRAT peuvent être partagées par d’autres groupes APT et résident essentiellement dans un référentiel différent des données d’empreintes digitales collectées initialement par Lazarus lors de leur accès initial et de la phase de déploiement de l’implant. »
Un outil proxy personnalisé appelé HazyLoad, précédemment identifié par Microsoft comme étant utilisé par l’acteur malveillant dans le cadre d’intrusions militarisant des failles de sécurité critiques dans JetBrains TeamCity, est également utilisé dans les attaques après la reconnaissance initiale (CVE-2023-42793, score CVSS : 9,8). HazyLoad est téléchargé et exécuté au moyen d’un autre malware appelé BottomLoader.
En outre, l’opération Blacksmith a été observée en train de fournir du DLRAT, qui est à la fois un téléchargeur et un RAT équipé pour effectuer une reconnaissance du système, déployer des logiciels malveillants supplémentaires, récupérer des commandes du C2 et les exécuter dans les systèmes compromis.
« Les multiples outils permettant une entrée dérobée qui se chevauchent présentent au groupe Lazarus des redondances en cas de découverte d’un outil, permettant un accès hautement persistant », ont déclaré les chercheurs.
Cette divulgation intervient alors que l’AhnLab Security Emergency Response Center (ASEC) a détaillé l’utilisation par Kimsuky de versions AutoIt de logiciels malveillants tels qu’Amadey et RftRAT et leur distribution via des attaques de spear phishing contenant des pièces jointes et des liens piégés dans le but de contourner les produits de sécurité.
Kimusky, également connu sous les noms d’APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anciennement Thallium), Nickel Kimball et Velvet Chollima, est un élément opérant sous le Bureau général de reconnaissance (RGB) de la Corée du Nord, qui abrite également le groupe Lazarus.
Elle a été sanctionnée par le département du Trésor américain le 30 novembre 2023 pour avoir collecté des renseignements destinés à soutenir les objectifs stratégiques du régime.
« Après avoir pris le contrôle du système infecté, pour exfiltrer les informations, le groupe Kimsuky installe divers malwares tels que des keyloggers et des outils d’extraction de comptes et de cookies des navigateurs web », indique l’ASEC. dit dans une analyse publiée la semaine dernière.