L’acteur mena\u00e7ant align\u00e9 sur la Cor\u00e9e du Nord connu sous le nom de andariel <\/b>exploit\u00e9 un logiciel malveillant auparavant non document\u00e9 appel\u00e9 EarlyRat <\/b>dans des attaques exploitant la vuln\u00e9rabilit\u00e9 Log4j Log4Shell l’ann\u00e9e derni\u00e8re.<\/p>\n
“Andariel infecte les machines en ex\u00e9cutant un exploit Log4j, qui, \u00e0 son tour, t\u00e9l\u00e9charge d’autres logiciels malveillants \u00e0 partir du serveur de commande et de contr\u00f4le (C2)”, Kaspersky a dit<\/a> dans un nouveau rapport.<\/p>\n \u00c9galement appel\u00e9 Silent Chollima et Stonefly, Andariel est associ\u00e9 au Lab 110 de Cor\u00e9e du Nord, une unit\u00e9 de piratage principale qui abrite \u00e9galement APT38 (alias BlueNoroff) et d’autres \u00e9l\u00e9ments subordonn\u00e9s suivis collectivement sous le nom g\u00e9n\u00e9rique. Groupe Lazare<\/a>. <\/p>\n L’acteur de la menace, en plus de mener des attaques d’espionnage contre des gouvernements \u00e9trangers et des entit\u00e9s militaires d’int\u00e9r\u00eat strat\u00e9gique, est connu pour mener des cybercrimes comme source de revenus suppl\u00e9mentaire pour la nation frapp\u00e9e par les sanctions.<\/p>\n Certaines des principales cyber-armes de son arsenal comprennent une souche de ran\u00e7ongiciel appel\u00e9e Maui et de nombreux chevaux de Troie et portes d\u00e9rob\u00e9es d’acc\u00e8s \u00e0 distance tels que Dtrack (alias Valefor et Preft), NukeSped (alias Manuscrypt), MagicRAT et YamaBot.<\/p>\n NukeSped contient<\/a> une gamme de fonctionnalit\u00e9s pour cr\u00e9er et terminer des processus et d\u00e9placer, lire et \u00e9crire des fichiers sur l’h\u00f4te infect\u00e9. L’utilisation de NukeSped chevauche une campagne suivie par la US Cybersecurity and Infrastructure Security Agency (CISA) sous le nom de TraderTraitor.<\/p>\n La militarisation par Andariel de la vuln\u00e9rabilit\u00e9 Log4Shell dans les serveurs VMware Horizon non corrig\u00e9s a d\u00e9j\u00e0 \u00e9t\u00e9 document\u00e9e par AhnLab Security Emergency Response Center (ASEC) et Cisco Talos en 2022.<\/p>\n La derni\u00e8re cha\u00eene d’attaque d\u00e9couverte par Kaspsersky montre qu’EarlyRat se propage au moyen d’e-mails de phishing contenant des documents Microsoft Word leurres. Les fichiers, lorsqu’ils sont ouverts, invitent les destinataires \u00e0 activer les macros, entra\u00eenant l’ex\u00e9cution du code VBA responsable du t\u00e9l\u00e9chargement du cheval de Troie.<\/p>\n D\u00e9crit comme une porte d\u00e9rob\u00e9e simple mais limit\u00e9e, EarlyRat est con\u00e7u pour collecter et exfiltrer des informations syst\u00e8me vers un serveur distant ainsi que pour ex\u00e9cuter des commandes arbitraires. Il partage \u00e9galement des similitudes de haut niveau avec MagicRAT, sans parler de l’\u00e9criture \u00e0 l’aide d’un framework appel\u00e9 PureBasic<\/a>. MagicRAT, d’autre part, utilise le Qt Framework.<\/p>\n Une autre caract\u00e9ristique de l’intrusion est l’utilisation d’outils l\u00e9gitimes pr\u00eats \u00e0 l’emploi comme 3Proxy, ForkDump, NTDSDumpEx, Powerline et PuTTY pour une exploitation plus pouss\u00e9e de la cible.<\/p>\n “Bien qu’il s’agisse d’un groupe APT, Lazarus est connu pour effectuer des t\u00e2ches typiques de cybercriminalit\u00e9, telles que le d\u00e9ploiement de ran\u00e7ongiciels, ce qui complique le paysage de la cybercriminalit\u00e9”, a d\u00e9clar\u00e9 Kaspersky. “De plus, le groupe utilise une grande vari\u00e9t\u00e9 d’outils personnalis\u00e9s, mettant constamment \u00e0 jour les logiciels malveillants existants et d\u00e9veloppant de nouveaux.”<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/La-nouvelle-souche-Linux-Ransomware-BlackSuit-presente-des-similitudes-frappantes.png\")
<\/a><\/center><\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/06\/Une-nouvelle-campagne-en-cours-cible-lecosysteme-npm-avec-une.png\")
<\/a><\/center><\/div>\n