Posté le janvier 31, 2022 à 8:33
UN GROUPE DE HACKERS NORD-CORÉENS LANCE PLUSIEURS ATTAQUES EN UTILISANT WINDOWS UPDATE ET GITHUB
Un rapport de l’équipe de renseignement sur les menaces de Malwarebytes a mis en évidence une attaque lancée par des hackers nord-coréens. L’équipe a émis un avertissement indiquant que le groupe de hackers Lazarus constituait une menace pour les entreprises et les particuliers.
L’attaque a été lancée par le biais d’exploits réalisés sur Windows Update et GitHub. Les attaquants ciblaient des utilisateurs peu méfiants qui étaient facilement vulnérables à ces exploits.
Un groupe de hackers nord-coréens lance des attaques
Les attaquants exploitaient de faux documents en utilisant des macros intégrées conçues pour ressembler aux détails d’emploi de Lockheed Martin. Une fois la macro exécutée, l’attaquant exploite Windows Update et GitHub pour transmettre des charges utiles aux appareils des utilisateurs, infectant ainsi les appareils d’utilisateurs peu méfiants.
Le groupe Lazarus est un groupe de hackers sponsorisé par l’Etat. Il a été impliqué dans un large éventail d’attaques par le passé. Parmi ces attaques, citons celle de WannaCry et plusieurs attaques contre des médias basés aux États-Unis.
Les attaques ont été menées par le biais de Windows Update, où elles ont livré des charges utiles malveillantes tout en utilisant GitHub comme principal serveur de commande et de contrôle (C2). Si les attaques étaient initialement aléatoires, elles se sont ensuite orientées vers des cibles réelles.
Le groupe de hackers Lazarus est associé au lancement de plusieurs campagnes visant diverses institutions gouvernementales. Parmi les groupes ciblés par ces hackers figurent les ministères de la défense, les entreprises aérospatiales et les secteurs civils des marchés publics. Cela montre que le groupe de hackers pourrait obtenir des informations critiques sur ces agences.
Le rapport indique que l’attaque était un exploit de spear-phishing. L’attaque a été menée à l’aide de deux documents MS Word qui ont servi de leurres. Les deux documents contenaient des macros intégrées sous les noms Lockheed_Martin_JobOpportunities.docx et Salary_Lockheed_Martin_job_opportunities_cxonfidential.doc.
Les documents en question étaient présentés comme des offres d’emploi valides de Lockheed Martin. Cependant, les attaquants ont configuré ces documents pour inciter les attaquants à les ouvrir et à les exécuter.
Les attaques étaient persistantes
Lorsqu’un utilisateur peu méfiant ouvre et charge le document sur son appareil, celui-ci exécute des macros malveillantes. L’action contiendra également un logiciel malveillant qui effectuera une série d’injections sur l’appareil cible. En exécutant ces attaques simultanément, l’attaquant sera persistant et s’assurera que l’objectif est atteint.
La persistance de l’attaque s’est faite lors des démarrages, garantissant qu’un appareil exécutera les charges utiles et que les attaquants pourront accéder aux appareils et lancer leurs attaques.
Le démarrage en question s’est fait par le biais d’un fichier de liens déployé lors d’une mise à jour de Windows. L’annonce précise que l’attaque a été exécutée via « wuauclt.exe ». Dans un message sur Twitter, les chercheurs ont ajouté plusieurs détails sur l’attaque.
Ils notent que l’attaque « crée un répertoire caché Windows/System32 et dépose wuaueng.dll (bien que la dll semble bénigne.) ». Ils ajoutent également que « cela pourrait être lié à #Lazarus $APT ».
Le blog publié par l’équipe de renseignement sur les menaces de Malwarebytes Lab donne un rapport complet des caractéristiques qui composaient l’attaque. Les chercheurs ont des détails étape par étape sur la façon dont les attaquants ont lancé ces attaques.
Le blog publié par l’équipe de renseignement sur les menaces de Malwarebytes Lab donne un rapport complet des caractéristiques qui composaient l’attaque. Les chercheurs détaillent, étape par étape, la manière dont les attaquants ont lancé ces attaques.
Ce n’est pas la première recherche de Malwarebytes sur le groupe Lazarus affilié à la Corée du Nord. Auparavant, ces attaques du groupe Lazarus ont été remarquées par des caractéristiques uniques. Les chercheurs ont réussi à relier l’attaque actuelle à ce groupe de hackers grâce à des éléments antérieurs liés aux attaques précédentes.
Le groupe de hackers de la Corée du Nord est connu pour lancer des attaques sophistiquées qui contiennent diverses caractéristiques. Certaines de ces caractéristiques incluent l’utilisation de documents d’offres d’emploi. Ces documents sont bien conçus, de sorte qu’ils incitent l’utilisateur à exécuter les charges utiles sans en vérifier le contenu au préalable.
Les documents présentant des opportunités sont généralement marqués des logos de divers entrepreneurs de la défense. Parmi les icônes d’entrepreneurs les plus utilisées dans les documents d’offres d’emploi figurent Lockheed Martin, Northrop Grumman et Boeing.
Les documents ciblent les demandeurs d’emploi qui cherchent désespérément de nouvelles opportunités dans les secteurs de la défense et de l’aérospatiale. Avec ce groupe cible, il y a de fortes chances qu’un utilisateur peu méfiant exécute ces charges utiles sur son appareil.
En outre, les métadonnées utilisées dans cet exploit sont similaires à celles utilisées dans les attaques précédentes menées par le groupe. En outre, la campagne de spear-phishing est également en corrélation avec d’autres qui ont eu lieu dans le passé.
L’activité de ce groupe a été étudiée par le passé. En avril 2002, un avis de cybermenace a été publié par la CISA (Cybersecurity and Infrastructure Security Agency) du département de la sécurité intérieure. Ce rapport indique que les particuliers doivent signaler toute information relative à la Corée du Nord dans le cyberespace. Toute personne signalant des activités susceptibles d’empêcher toute attaque contre le gouvernement américain recevra une récompense pouvant aller jusqu’à 5 millions de dollars.
