Les scientifiques d’ESET ont exposé et analysé un ensemble d’outils malveillants qui ont été utilisés par le groupe Lazarus APT lors d’attaques fin 2021. La campagne a commencé par des e-mails de harponnage contenant des documents nuisibles sur le thème d’Amazon, et elle ciblait un travailleur d’une entreprise aérospatiale aux Pays-Bas et journaliste politique en Belgique. L’objectif principal des agresseurs était l’exfiltration de données.
Fichier sur le thème d’Amazon envoyé à la cible aux Pays-Bas. Source : ESET
Les deux victimes existaient avec des offres de tâches : le membre du personnel aux Pays-Bas a reçu une pièce jointe via LinkedIn Messaging, et le journaliste en Belgique a reçu un fichier par e-mail. Les attaques ont commencé après l’ouverture de ces documents. Les opposants ont publié de nombreux outils destructeurs sur le système, comprenant des droppers, des chargeurs, des portes dérobées HTTP(S) entièrement incluses et des téléchargeurs HTTP(S).
L’outil le plus notable fourni par les agresseurs était un module en mode utilisateur qui a acquis la capacité de vérifier et de composer la mémoire du noyau en raison de la vulnérabilité CVE-2021-21551 dans un pilote Dell authentique. Cette vulnérabilité affecte les pilotes Dell DBUtil ; Dell a fourni une mise à jour de sécurité en mai 2021. Il s’agit du premier abus jamais enregistré de cette vulnérabilité dans la nature.
« Les agresseurs ont ensuite utilisé leur accès en écriture à la mémoire du noyau pour désactiver sept mécanismes que le système d’exploitation Windows utilise pour surveiller ses actions, comme le registre Windows, le système de fichiers, la création de processus, le suivi des événements, etc., généralement aveuglants services de sécurité dans une méthode très générique et robuste », explique Peter Kálnai, chercheur senior sur les logiciels malveillants chez ESET, à l’origine de la campagne. « Cela n’a pas seulement été effectué dans l’espace du noyau, mais aussi de manière robuste, en utilisant une série d’éléments internes Windows peu ou non documentés. Cela nécessitait sans aucun doute des capacités de recherche, de développement et de test approfondies », ajoute-t-il.
Lazarus a également utilisé une porte dérobée HTTP(S) entièrement équipée connue sous le nom de BLINDINGCAN. ESET pense que ce cheval de Troie d’accès à distance (RAT) dispose d’un contrôleur côté serveur compliqué avec une interface conviviale à travers laquelle l’opérateur peut contrôler et vérifier les systèmes compromis.
Aux Pays-Bas, l’attaque a touché un système informatique Windows 10 lié au réseau de l’entreprise, où un employé a été contacté via LinkedIn Messaging au sujet d’une toute nouvelle tâche potentielle, conduisant à l’envoi d’un e-mail avec un accessoire de fichier. Le fichier Word Amzon_Pays-Bas. docx envoyé à la victime est simplement un fichier récapitulatif avec un logo Amazon. Les scientifiques n’ont pas pu obtenir le modèle à distance, mais ils supposent qu’il aurait pu contenir un contrat d’emploi pour le programme régional Amazon Task Kuiper. C’est une technique que Lazarus a pratiquée dans les projets Operation In(ter)ception et Operation DreamJob ciblant les industries de l’aérospatiale et de la défense.
Sur la base du nombre de codes de commande disponibles pour l’opérateur, il est probable qu’un contrôleur côté serveur soit facilement disponible pour que l’opérateur puisse contrôler et vérifier les systèmes compromis. Les plus de deux douzaines de commandes disponibles consistent à télécharger, télécharger, reformuler et supprimer des fichiers, et à prendre des captures d’écran.
« Dans cette attaque, ainsi que dans de nombreuses autres attribuées à Lazarus, nous avons vu que beaucoup de les outils ont été dispersés même sur un seul terminal ciblé dans un réseau d’intérêt. Sans aucun doute, l’équipe derrière l’attaque est assez grande, organisée méthodiquement et remarquablement prête », déclare Kálnai.
Attributs de l’étude d’ESET Research ces attaques à Lazare avec une grande confiance en soi. La diversité, le nombre et l’excentricité dans la mise en œuvre des campagnes Lazarus spécifient ce groupe, en plus du fait qu’il exécute les 3 piliers des activités cybercriminelles : cyberespionnage, cybersabotage et recherche de gain monétaire. Lazarus (également connu sous le nom de HIDDEN COBRA) a été actif depuis au moins 2009. Il est responsable d’un certain nombre d’événements très médiatisés.
Toute l’actualité en temps réel, est sur L’Entrepreneur