Lazarus cible les sociétés de crypto-monnaies sur LinkedIn

Le groupe de hackers nommé Lazarus est lié à une récente campagne d’hameçonnage qui a ciblé les administrateurs d’une entreprise de crypto-monnaie via des messages LinkedIn.

Les chercheurs affirment que la récente identification d’une série d’incidents faisait partie d’une campagne plus large ciblant les entreprises du monde entier via des messages envoyés aux comptes LinkedIn personnels des cibles. L’objectif de la campagne semble être financier, les pirates informatiques essayent de récolter les informations d’identification nécessaires pour accéder aux portefeuilles de crypto-monnaie ou aux comptes bancaires en ligne.

«Les activités du groupe Lazarus sont une menace permanente: la campagne d’hameçonnage associée à cette attaque a été observée en 2020, augmentant le besoin de sensibilisation et de vigilance parmi les organisations opérant dans les secteurs ciblés», ont déclaré des chercheurs de F-Secure dans un article[PDF].

Les pirates ont ciblé les administrateurs système d’une société de crypto-monnaie (dont on ne connait pas le nom) avec un document d’hameçonnage, qui était joint à un message envoyé à leurs comptes LinkedIn personnels. Le document se faisait passer pour une offre d’emploi légitime pour un rôle dans une entreprise de technologie blockchain, qui correspondait aux compétences de l’employé, ont déclaré des chercheurs.

lazarus

Une fois que la cible a cliqué sur le document malveillant, le document a prétendu être protégé par les restrictions du règlement général sur la protection des données (RGPD) et que l’utilisateur devait activer les macros dans Microsoft Word pour un accès ultérieur. Une fois que la cible a activé les macros, un code malveillant de macro incorporé s’exécutait. La macro dans le document crée un fichier LNK qui entraîne l’exécution de mshta.exe.

Cela appelle ensuite un lien «bit.ly» créé début mai 2019, ont déclaré des chercheurs. Après une inspection plus approfondie du lien utilisé dans l’attaque d’hameçonnage, les chercheurs ont constaté qu’il avait été consulté 73 fois depuis au moins 19 pays – y compris les États-Unis, la Chine et le Royaume-Uni -, ce qui a conduit les chercheurs à conclure qu’il s’agit d’un «document de leurre ciblé. “

Le lien «bit.ly» redirige ensuite vers un domaine qui exécute du code VBScript pour effectuer des vérifications sur l’hôte et collecter des informations supplémentaires, qui sont ensuite envoyées à un deuxième domaine de commande et de contrôle (C2). Cela conduit finalement au téléchargement et à l’exécution d’un script PowerShell qui récupère une autre charge utile d’un troisième C2, ont déclaré les chercheurs.

lazarus

Cette charge utile télécharge enfin plusieurs implants principaux sur le système de la victime, qui contiennent les capacités de télécharger des fichiers supplémentaires, de décompresser des données en mémoire, d’initier une communication avec un serveur de commande et de contrôle, d’exécuter des commandes arbitraires et de voler des informations d’identification à un certain nombre de sources (via une version personnalisée de Mimikatz, une application open source qui permet aux utilisateurs d’afficher et d’enregistrer les informations d’authentification). Les implants sont également utilisés pour se connecter aux implants de porte dérobée du réseau sur d’autres hôtes cibles, ont déclaré les chercheurs.

Les chercheurs ont également pris note des diverses tactiques utilisées par l’APT pour éviter la détection. Par exemple, Lazarus Group a désactivé la surveillance de Windows Defender comme l’une de ses premières actions sur chaque hôte auquel il accédait. Malgré ces tentatives pour éviter la détection, les chercheurs notent que le grand nombre de commandes exécutées via cmd.exe offre aux équipes de sécurité «d’importantes opportunités de détection».

«Un trait distinctif commun à la majorité des commandes exécutées par le groupe Lazarus était l’ajout de la chaîne ” 2> & 1 ” aux commandes; qui, bien qu’utilisé par certains outils, devrait être anormal lorsqu’elle est filtrée par la relation de processus parent-enfant, et fournir de bonnes opportunités de détection », ont-ils déclaré.

Le passage à la crypto-monnaie de Lazarus

Lazarus Group, alias Hidden Cobra ou APT 38, existe depuis 2009. L’APT est lié à l’attaque très destructrice de WannaCry qui a causé des millions de dollars de dégâts économiques en 2017, aux attaques bancaires SWIFT, ainsi qu’à l’attaque très médiatisée contre Sony Pictures Entertainment en 2014. Lazarus est également en constante évolution: en décembre, ils se sont associer aux opérateurs de Trickbot, qui dirigent un puissant cheval de Troie qui cible les banques américaines. En mai, ils ajoutaient un logiciel espion macOS à une application d’authentification à deux facteurs et en juillet, ils ajoutaient du code de Magecart à leur arsenal.

Plus récemment, ils ont lancé un framework de logiciels malveillants (MATA) avancé et polyvalent qui cible les systèmes d’exploitation Windows, Linux et MacOS et a été lié à une récente souche de rançongiciel nommé VHD.

Cependant, cette campagne plus récente montre que le groupe cherche désormais également à cibler des organisations dans les secteurs de la finance et de la crypto-monnaie, avertissent les chercheurs.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x