Les chercheurs de WithSecure ont découvert une campagne de cyberattaques liée au tristement célèbre groupe nord-coréen Lazarus.
Il est extrêmement rare de pouvoir lier une campagne aussi fortement à un auteur comme WithSecure a pu le faire ici. Les hackers ont ciblé des organisations de recherche médicale et d’énergie avec l’intention de commettre de l’espionnage.
Les cibles incluent une organisation de recherche dans le domaine de la santé, un fabricant de technologies utilisées dans les secteurs de l’énergie, de la recherche, de la défense et de la santé, ainsi que en tant que département de génie chimique d’une université de recherche de premier plan.
Il y a plusieurs éléments intéressants dans cette campagne par rapport à l’activité précédente de Lazarus. Celles-ci incluent l’utilisation d’une nouvelle infrastructure, reposant uniquement sur des adresses IP sans noms de domaine (contrairement aux attaques précédentes).
Il existe également une version modifiée du logiciel malveillant de vol d’informations Dtrack utilisé par Lazarus Group et Kimsuky-un autre groupe associé à la Corée du Nord-lors d’attaques précédentes, ainsi qu’une nouvelle version de GREASE-un logiciel malveillant qui permet aux attaquants de créer de nouveaux comptes d’administrateur avec des privilèges de protocole de bureau à distance qui contournent les pare-feu.
“Bien qu’il ait été initialement suspecté qu’il s’agissait d’une tentative d’attaque par rançongiciel BianLian, les preuves que nous avons recueillies ont rapidement pointé dans une autre direction. ce qui nous a amenés à conclure avec confiance qu’il s’agissait du groupe Lazarus », déclare Sami Ruohonen, chercheur principal sur les menaces chez WithSecure.
L’attaque a été identifiée en partie grâce à une erreur où les attaquants ont brièvement utilisé l’une des moins d’un millier d’adresses IP appartenant à la Corée du Nord.
Mais le responsable du renseignement sur les menaces de WithSecure, Tim West, déclare qu’il ne faut pas se complaire :”Malgré le opsec échoue, l’acteur a fait preuve d’un bon savoir-faire et a quand même réussi à effectuer des actions réfléchies sur des points finaux soigneusement sélectionnés. Même avec des technologies de détection des points finaux précises, les entreprises doivent continuellement réfléchir à la façon dont elles répondent aux alertes, et également intégrer des informations ciblées sur les menaces avec des chasses régulières pour fournir une meilleure défense en profondeur, en particulier contre des adversaires capables et habiles.”
Le rapport complet est disponible sur le site WithSecure.
Crédit image : tang90246/depositphotos.com