Le groupe Lazarus utilise des images BMP pour cacher leurs malwares

0

Une attaque d’hameçonnage ciblé lancée par un groupe de hackers nord-coréen nommé Lazarus cible la Corée du Sud et dissimule son code malveillant dans un fichier d’image bitmap (.BMP) pour propager un cheval de Troie d’accès à distance capable de dérober des informations sensibles.

L’attaque a été attribuée au groupe Lazarus en se basant sur des similitudes avec les tactiques antérieures adoptées par l’adversaire, des chercheurs de Malwarebytes ont déclaré que la campagne d’hameçonnage a commencé par la distribution d’e-mails contenant un document malveillant qu’ils ont identifié le 13 avril.

« Les pirates ont utilisé une méthode intelligente pour contourner les mécanismes de sécurité dans lesquels ils ont intégré leur fichier HTA malveillant comme un fichier zlib compressé à l’intérieur d’un fichier PNG qui a ensuite été décompressé pendant le runtime en se convertissant au format BMP », ont expliqué les chercheurs de Malwarebytes.

« La charge utile partagée était un loader qui décodait et décryptait la charge utile de deuxième étape en mémoire. La charge utile de deuxième étape a la capacité de recevoir et d’exécuter des commandes/shellcode ainsi que d’effectuer l’exfiltration et des communications vers un serveur de commande et de contrôle.

lazarus bmp

Créé le 31 mars 2021, le document leurre (en coréen) se fait passer pour un formulaire de demande de participation pour une foire dans l’une des villes sud-coréennes et incite les utilisateurs à activer les macros lors de son ouverture pour la première fois, dans le but exécuter le code d’attaque qui déclenche la chaîne d’infection, et partager un exécutable nommé « AppStore.exe. »

image bmp lazarus

La charge utile procède ensuite à l’extraction d’une charge utile cryptée de deuxième étape annexée à elle-même qui est décodée et décryptée au moment de l’exécution, suivie de l’établissement de communications avec un serveur distant pour recevoir des commandes supplémentaires et transmettre les résultats de ces commandes au serveur.

« Le groupe de pirates Lazarus est l’un des groupes nord-coréens les plus actifs et sophistiqués qui a ciblé plusieurs pays, y compris la Corée du Sud, les États-Unis et le Japon au cours des deux dernières années », ont déclaré les chercheurs. « Lazarus est connu pour utiliser de nouvelles techniques et des ensembles d’outils personnalisés dans ses opérations afin d’accroître l’efficacité de ses attaques. »

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire