L’alignement sur la Corée du Nord Groupe Lazare a été attribué à une nouvelle campagne dans laquelle un fournisseur de logiciels anonyme a été compromis par l’exploitation de failles de sécurité connues dans un autre logiciel de premier plan.
Selon Kaspersky, les séquences d’attaque ont abouti au déploiement de familles de logiciels malveillants telles que SIGNBT et LPEClient, un outil de piratage connu utilisé par l’acteur malveillant pour le profilage des victimes et la transmission des charges utiles.
« L’adversaire a fait preuve d’un haut niveau de sophistication, en utilisant des techniques d’évasion avancées et en introduisant le logiciel malveillant SIGNBT pour le contrôle des victimes », a déclaré le chercheur en sécurité Seongsu Park. dit. « Le malware SIGNBT utilisé dans cette attaque utilisait une chaîne d’infection diversifiée et des techniques sophistiquées. »
L’éditeur russe de cybersécurité a déclaré que la société qui a développé le logiciel exploité avait été victime d’une attaque Lazarus à plusieurs reprises, indiquant une tentative de vol de code source ou d’empoisonnement de la chaîne d’approvisionnement du logiciel, comme dans le cas de l’attaque de la chaîne d’approvisionnement 3CX.
Le groupe Lazarus « a continué à exploiter les vulnérabilités des logiciels de l’entreprise tout en ciblant d’autres éditeurs de logiciels », a ajouté Park. Dans le cadre de la dernière activité, un certain nombre de victimes auraient été pointées du doigt dès la mi-juillet 2023.
Les victimes, selon l’entreprise, ont été ciblées via un logiciel de sécurité légitime conçu pour crypter les communications Web à l’aide de certificats numériques. Le nom du logiciel n’a pas été divulgué et le mécanisme exact par lequel le logiciel a été utilisé pour distribuer SIGNBT reste inconnu.
En plus de s’appuyer sur diverses tactiques pour établir et maintenir la persistance sur les systèmes compromis, les chaînes d’attaque utilisent un chargeur en mémoire qui agit comme un canal pour lancer le malware SIGNBT.
La fonction principale de SIGNBT est d’établir un contact avec un serveur distant et de récupérer d’autres commandes à exécuter sur l’hôte infecté. Le malware est ainsi nommé pour son utilisation de chaînes distinctives préfixées par « SIGNBT » dans ses communications de commande et de contrôle (C2) basées sur HTTP :
- SIGNBTLG, pour la première connexion
- SIGNBTKE, pour collecter les métadonnées du système lors de la réception d’un message SUCCESS du serveur C2
- SIGNBTGC, pour récupérer les commandes
- SIGNBTFI, pour échec de communication
- SIGNBTSR, pour une communication réussie
La porte dérobée Windows, quant à elle, est dotée d’un large éventail de capacités pour exercer un contrôle sur le système de la victime. Cela inclut l’énumération des processus, les opérations sur les fichiers et les répertoires, ainsi que le déploiement de charges utiles telles que LPEClient et d’autres utilitaires de dumping d’informations d’identification.
Kaspersky a déclaré avoir identifié au moins trois campagnes Lazarus disparates en 2023 utilisant des vecteurs d’intrusion et des procédures d’infection variés, mais s’est systématiquement appuyé sur le logiciel malveillant LPEClient pour diffuser le logiciel malveillant de phase finale.
L’une de ces campagnes a ouvert la voie à un implant nommé Gopuram, qui a été utilisé dans des cyberattaques ciblant les sociétés de crypto-monnaie en exploitant une version trojanisée du logiciel de conférence vocale et vidéo 3CX.
Les dernières découvertes ne sont que le dernier exemple des cyberopérations liées à la Corée du Nord, en plus de témoigner de l’arsenal d’outils, de tactiques et de techniques en constante évolution et en constante expansion du groupe Lazarus.
« Le groupe Lazarus reste un acteur menaçant très actif et polyvalent dans le paysage actuel de la cybersécurité », a déclaré Park.
« L’acteur malveillant a démontré une compréhension approfondie des environnements informatiques, affinant ses tactiques pour inclure l’exploitation des vulnérabilités des logiciels de premier plan. Cette approche leur permet de propager efficacement leurs logiciels malveillants une fois les infections initiales réalisées.