Posté le septembre 8, 2022 à 8:38
L’ACTEUR D’ÉTAT MALVEILLANT LAZARUS LANCE UNE NOUVELLE CAMPAGNE AVEC LE LOGICIEL MALVEILLANT MAGICRAT
Le célèbre acteur étatique Nord-Coréen Lazarus Group a été relié à un nouveau cheval de Troie d’accès à distance connu sous le nom de MagicRAT.
Le rapport révèle que le groupe de menaces exploite des serveurs VMWare Horizon pour accéder aux réseaux d’entreprise de fournisseurs d’énergie au Japon, au Canada et aux États-Unis.
Lazarus est un acteur de menace d’État-nation notoirement connu pour avoir mené des campagnes de cyberespionnage, de vol de crypto-monnaies et de vol de données au cours de la dernière décennie. Le groupe de hackers a été lié à des centaines d’attaques de haut niveau à l’échelle internationale.
Les chercheurs en sécurité de Cisco Talos ont déclaré que Lazarus a ciblé des organisations du secteur de l’énergie entre février et juillet 2022, en utilisant des exploits VMWare Horizon pour obtenir un accès initial.
Après avoir obtenu un accès initial, ils ont utilisé des familles de logiciels malveillants personnalisées telles que « YamaBot » et « VSingle », ainsi que « MagicRAT », un cheval de Troie d’accès à distance (RAT) jusqu’alors inconnu, utilisé pour voler des données sur les appareils piratés.
Les chercheurs en sécurité de Symantec ont analysé les mêmes activités de piratage en avril de cette année, tandis que les chercheurs de l’ASEC ont effectué leur analyse en mai. Mais Cisco a fourni un rapport beaucoup plus approfondi sur les activités de l’acteur de la menace concernant l’attaque. Il a dévoilé plusieurs détails sur les activités de l’acteur malveillant.
Le groupe Lazarus a utilisé plusieurs méthodes d’attaque
Cisco Talos a également noté que les acteurs de la menace utilisent désormais de multiples stratégies d’attaque. Cela illustre les dernières procédures, tactiques et techniques de Lazarus et montre la polyvalence de ce groupe de hackers hautement qualifiés et expérimentés.
Au départ, le groupe de hackers a exploité les serveurs vulnérables aux failles de Log4Shell. Il a exécuté un shellcode qui a établi un shell inversé ou reverse shell qui a exécuté des commandes arbitraires sur le point d’accès violé.
Lazarus a pu désactiver Windows Defender en modifiant des clés de registre, des commandes Powershell et WMIC avant de déployer VSingle.
Les hackers utilisent différentes méthodes d’attaque
Les backdoors VSingle offrent un support aux commandes avancées de reconnaissance du réseau. Elles exécutent également d’autres fonctions telles que l’établissement d’une connexion reverse shell, la création de nouveaux utilisateurs administrateurs sur l’hôte et la préparation de l’environnement pour le vol d’informations d’identification. Ces actions sont connectées au serveur de contrôle (C2) pour créer des plugins qui enrichissent ses fonctionnalités.
Le rapport présente par ailleurs un deuxième cas qui concerne une victime différente, bien qu’il suive un schéma d’accès et de reconnaissance similaire à la première approche. Cependant, cette fois, l’acteur de la menace a implanté MagicRAT en même temps que VSingle.
Talos a également publié un autre article sur MagicRAT qui fournit des détails sur toutes les fonctions de ce cheval de Troie jusqu’alors inconnu.
Selon le rapport, MagicRAT est capable d’établir sa propre persistance en exécutant des commandes codées en dur qui ont créé les tâches programmées requises. Il recueille aussi des logiciels malveillants supplémentaires sur le serveur C2 et participe à la reconnaissance du système.
Pour la troisième attaque, l’acteur de la menace a utilisé YamaBot, un logiciel malveillant personnalisé doté de capacités RAT écrites en GO.
Les capacités du RAT incluent l’auto-désinstallation
Les capacités standard du RAT comprennent l’exécution de commandes arbitraires sur les points d’extrémité, le téléchargement de fichiers à partir d’emplacements distants, l’envoi d’informations sur les processus à C2 et l’énumération des fichiers et des répertoires. Il a également la capacité de se désinstaller.
La diversification de la chaîne d’attaque de Lazarus ne se limite pas aux charges utiles finales du logiciel malveillant. Elle s’étend également aux outils de tunneling inverse ou proxy et aux méthodes de récolte d’informations d’identification.
Le rapport révèle également que dans certains cas, Lazarus a déployé les outils Procdump et Mimikatz. Mais dans d’autres, ils ont récupéré des copies des ruches de registre qui contiennent les informations d’identification AD.
Le chercheur a signalé un cas où les acteurs de la menace ont essayé d’exfiltrer les informations d’Active Directory sur un point d’extrémité par le biais de cmdlets PowerShell. Mais le lendemain, les acteurs de la menace ont utilisé l’adfindexe pour extraire des détails similaires sur le même point d’extrémité.
La raison de ces différentes méthodes d’attaque est d’apporter différents modèles d’exploitation qui rendront plus difficile l’attribution, la détection et à la défense contre l’attaque.
Comme indiqué dans le post, les entreprises de cybersécurité surveillent de près Lazarus, et cherchent donc toujours à diversifier les options de leur chaîne d’attaque. S’ils s’en tiennent à une seule stratégie d’attaque, il sera plus facile pour les entreprises de cybersécurité de les identifier et de les bloquer. Par conséquent, ils continueront à faire évoluer leurs schémas d’attaque pour rester sous le radar le plus longtemps possible.
La diversification des attaques de Lazarus se reflète également dans ses différentes cibles, notamment les demandeurs d’emploi en informatique. Elle comprend également l’utilisation de ransomwares comme leurres, la création d’outils de développement trojanisés et la création de fausses apps de trading de crypto. Elle illustre également leur capacité à lancer des attaques massives avec de gros gains financiers, comme le vol de crypto-monnaies de 620 millions de dollars de l’incident Ronin.