Posté le avril 24, 2023 à 7:11
LE GROUPE DE HACKERS LAZARUS A COMPROMIS X_TRADER POUR CIBLER DES INFRASTRUCTURES CRITIQUES
Le groupe de hackers Nord-Coréens, Lazarus, a été attribué à la campagne de piratage contre 3CX. Cependant, il semble que l’attaque de la chaîne d’approvisionnement de 3CX n’était qu’un des nombreux exploits réalisés par le groupe. Les hackers ont également ciblé les secteurs de l’énergie et de l’électricité ainsi que la finance.
Le groupe Lazarus s’attaque aux infrastructures critiques
En plus d’avoir réalisé un exploit contre 3CX, le groupe de hackers Lazarus a également ciblé deux entreprises d’infrastructures critiques opérant dans le secteur de l’électricité et de l’énergie. Il a également ciblé deux entreprises offrant des services de transactions financières par le biais de l’application X_TRADER, qui a fait l’objet d’un cheval de Troie.
Les récentes découvertes sur l’activité de ce groupe de hackers Nord-Coréens ont été révélées par l’équipe Threat Hunter de Symantec. Elles confirment les rapports antérieurs selon lesquels l’application X_TRADER a été compromise et a affecté d’autres organisations que 3CX. Toutefois, les noms des autres organisations visées par l’attaque n’ont pas été révélés.
Le directeur de la réponse de sécurité chez Symantec, Eric Chien, a commenté cette découverte en précisant que les attaques en question se sont produites entre septembre 2022 et novembre 2022. M. Chien a indiqué que l’impact de ces attaques n’avait pas encore été déterminé et que les enquêtes étaient toujours en cours. M. Chien a indiqué que l’exploitation de 3CX pourrait être plus importante, l’étendue des dommages étant largement significative.
Le piratage de 3CX imputé à X_TRADER
Le mois dernier, Mandiant a publié un rapport révélant la violation de 3CX. Dans son rapport, la société de cybersécurité indique que l’exploit de 3CX a été rendu possible par une autre attaque de la chaîne d’approvisionnement en logiciels de X_TRADER en 2022. À l’époque, un employé de l’entreprise avait téléchargé un programme d’installation de logiciel malveillant sur son ordinateur personnel.
Dans son rapport, Mandiant a déclaré : » Les enquêtes sur la compromission de la chaîne d’approvisionnement de 3CX ont permis de découvrir le vecteur d’intrusion initial : un logiciel malveillant distribué via une compromission antérieure de la chaîne d’approvisionnement logicielle qui a commencé par un installateur corrompu de X_TRADER, un logiciel fourni par Trading Technologies. «
Il reste à déterminer comment un acteur de la menace Nord-Coréen a infiltré le logiciel de trading X_TRADER créé par Trading Technologies. Le service n’existe plus depuis avril 2020, mais il était toujours possible de le télécharger sur le site web de l’entreprise.
L’enquête menée par Mandiant a également révélé que la porte dérobée connue sous le nom de VEILEDSIGNAL a été installée dans l’application X_TRADER malveillante, ce qui a permis à l’acteur de la menace d’obtenir l’accès à l’ordinateur de l’employé et de voler ses informations d’identification. Ces informations ont ensuite été utilisées pour pirater le réseau 3CX et compromettre les environnements macOS et Windows afin d’installer un code malveillant.
La récente attaque de la chaîne d’approvisionnement contre 3CX va au-delà du mode opératoire des groupes de hackers Nord-Coréens. Ces groupes sont largement connus pour cibler les sociétés de cryptomonnaies et mener des attaques à des fins financières.
Mandiant a ajouté qu’il était modérément convaincu que l’activité de piratage était associée à AppleJeus. AppleJeus est une campagne de piratage persistante qui cible les entreprises actives dans le secteur des cryptomonnaies afin d’en tirer des bénéfices financiers. La société de cybersécurité CrowdStrike avait attribué la violation à Labyrinth Chollima.
Le groupe d’analyse des menaces de Google avait attribué la compromission à l’attaque du site web de Trading Technologies en février de l’année dernière. À l’époque, les hackers avaient exploité une vulnérabilité zero day au sein du navigateur web Chrome.
Les chercheurs d’ESET ont également analysé les campagnes menées par le groupe Lazarus. L’analyse a montré l’existence d’un logiciel malveillant basé sur Linux connu sous le nom de SimplexTea, qui partage une infrastructure réseau similaire utilisée par UNC4736. Les recherches prouvent en outre que ce sont des hackers Nord-Coréens qui ont réalisé l’exploit sur 3CX.
Les chercheurs d’ESET ont noté que le rapport de Mandiant sur une deuxième attaque de la chaîne d’approvisionnement qui a déclenché la compromission de 3CX montre que le groupe de hackers penche vers la technique pour obtenir un accès initial aux réseaux cibles.
L’exploit sur X_TRADER montre également que les hackers étaient motivés financièrement. Lazarus est un terme général utilisé pour désigner de petits groupes de hackers basés en Corée du Nord. Les hackers de Lazarus mènent des activités d’espionnage ou de cybercriminalité pour le compte de la Corée du Nord, qui fait face à de lourdes sanctions internationales.
Le rapport de l’équipe de recherche de Symantec sur la chaîne d’infection montre que la porte dérobée modulaire VEILEDSIGNAL a été déployée. Il intègre également un composant d’injection de processus dans les navigateurs Chrome, Edge et Firefox.
Le module contient par ailleurs une bibliothèque de liens dynamiques (DLL) liée au site web de Trading Technologies pour la commande et le contrôle. Les chercheurs de Symantec ont conclu que le piratage de 3CX était dû à une autre attaque antérieure de la chaîne d’approvisionnement qui augmentait la probabilité que les organisations soient ciblées par la campagne. Les chercheurs en cybersécurité pensent que la violation de 3CX était plus importante que ce que l’on pensait à l’origine.