Une nouvelle campagne de collecte de renseignements li\u00e9e au prolifique groupe Lazarus, parrain\u00e9 par l’\u00c9tat nord-cor\u00e9en, a exploit\u00e9 les failles de s\u00e9curit\u00e9 connues des appareils Zimbra non corrig\u00e9s pour compromettre les syst\u00e8mes des victimes.<\/p>\n
C’est selon la soci\u00e9t\u00e9 finlandaise de cybers\u00e9curit\u00e9 WithSecure (anciennement F-Secure), qui a donn\u00e9 le nom de code \u00e0 l’incident Pas d’ananas<\/b> en r\u00e9f\u00e9rence \u00e0 un message d’erreur utilis\u00e9 dans l’une des portes d\u00e9rob\u00e9es.<\/p>\n
Les cibles de l’op\u00e9ration malveillante comprenaient une organisation de recherche en soins de sant\u00e9 en Inde, le d\u00e9partement de g\u00e9nie chimique d’une universit\u00e9 de recherche de premier plan, ainsi qu’un fabricant de technologie utilis\u00e9e dans les secteurs de l’\u00e9nergie, de la recherche, de la d\u00e9fense et de la sant\u00e9, sugg\u00e9rant une tentative de rupture de l’approvisionnement. cha\u00eene.<\/p>\n
On estime qu’environ 100 Go de donn\u00e9es ont \u00e9t\u00e9 export\u00e9es par l’\u00e9quipe de piratage suite \u00e0 la compromission d’un client anonyme, l’effraction num\u00e9rique ayant probablement lieu au troisi\u00e8me trimestre de 2022.<\/p>\n
“L’acteur de la menace a eu acc\u00e8s au r\u00e9seau en exploitant un serveur de messagerie Zimbra vuln\u00e9rable \u00e0 la fin du mois d’ao\u00fbt”, a d\u00e9clar\u00e9 WithSecure dans un communiqu\u00e9. rapport technique d\u00e9taill\u00e9<\/a> partag\u00e9 avec The Hacker News.<\/p>\n Les failles de s\u00e9curit\u00e9 utilis\u00e9es pour l’acc\u00e8s initial sont CVE-2022-27925 et CVE-2022-37042, qui pourraient toutes deux \u00eatre exploit\u00e9es pour obtenir l’ex\u00e9cution de code \u00e0 distance sur le serveur sous-jacent.<\/p>\n Cette \u00e9tape a \u00e9t\u00e9 suivie par l’installation de shells Web et l’exploitation de la vuln\u00e9rabilit\u00e9 d’escalade de privil\u00e8ges locale dans le serveur Zimbra (c’est-\u00e0-dire, Pwnkit alias CVE-2021-4034), permettant ainsi \u00e0 l’acteur malveillant de r\u00e9colter des donn\u00e9es de bo\u00eete aux lettres sensibles.<\/p>\n Par la suite, en octobre 2022, l’adversaire aurait effectu\u00e9 des mouvements lat\u00e9raux, des reconnaissances et finalement d\u00e9ploy\u00e9 des portes d\u00e9rob\u00e9es telles que Dtrack et une version mise \u00e0 jour de GREASE.<\/p>\n GRAISSE<\/a>qui a \u00e9t\u00e9 attribu\u00e9 comme l’\u0153uvre d’un autre groupe de menaces affili\u00e9 \u00e0 la Cor\u00e9e du Nord appel\u00e9 Kimsuky, est livr\u00e9 avec capacit\u00e9s<\/a> pour cr\u00e9er de nouveaux comptes d’administrateur avec des privil\u00e8ges de protocole de bureau \u00e0 distance (RDP) tout en contournant les r\u00e8gles de pare-feu.<\/p>\n Dtrack, d’autre part, a \u00e9t\u00e9 employ\u00e9 dans des cyberattaques visant une vari\u00e9t\u00e9 de secteurs verticaux de l’industrie, ainsi que dans des attaques \u00e0 motivation financi\u00e8re impliquant l’utilisation du ran\u00e7ongiciel Maui.<\/p>\n “D\u00e9but novembre, Cobalt Strike [command-and-control] des balises ont \u00e9t\u00e9 d\u00e9tect\u00e9es depuis un serveur interne vers deux adresses IP d’acteurs mena\u00e7ants \u00bb, ont soulign\u00e9 les chercheurs Sami Ruohonen et Stephen Robinson, ajoutant que l’exfiltration de donn\u00e9es s’est produite du 5 novembre 2022 au 11 novembre 2022.<\/p>\n Des outils tels que Plink et 3Proxy ont \u00e9galement \u00e9t\u00e9 utilis\u00e9s dans l’intrusion pour cr\u00e9er un proxy sur le syst\u00e8me victime, faisant \u00e9cho aux conclusions pr\u00e9c\u00e9dentes de Cisco Talos sur les attaques du groupe Lazarus ciblant les fournisseurs d’\u00e9nergie.<\/p>\n