Une entreprise arospatiale espagnole a t la cible dune attaque du groupe Lazarus, un acteur de la menace soutenu par la Core du Nord, selon les chercheurs dESET. Le groupe a utilis une tactique dingnierie sociale pour tromper les employs de lentreprise et leur faire excuter des fichiers malveillants sur leurs machines. Le groupe sest fait passer pour un recruteur de Meta, la socit lorigine de Facebook, Instagram et WhatsApp, et a contact les employs via LinkedIn, une plateforme de rseau social professionnel. Le faux recruteur a envoy aux employs deux dfis de codage en C++, qui taient en fait des chevaux de Troie conus pour installer des portes drobes sur les systmes cibles.
Les entreprises du secteur arospatial ne sont pas une cible inhabituelle pour les groupes de lutte contre les menaces persistantes avances (advanced persistent threat ou APT) soutenus par la Core du Nord. Le pays a procd de multiples essais nuclaires et lanc des missiles balistiques intercontinentaux, en violation des rsolutions du Conseil de scurit de l’Organisation des Nations unies (ONU). L’ONU surveille les activits nuclaires de la Core du Nord afin d’empcher le dveloppement et la prolifration d’armes nuclaires ou d’armes de destruction massive, et publie des rapports semestriels sur ces activits.
Selon ces rapports, les groupes APT soutenus par la Core du Nord attaquent les entreprises arospatiales pour tenter d’accder des technologies sensibles et au savoir-faire arospatial, car les missiles balistiques intercontinentaux passent leur phase de mi-parcours dans l’espace situ en dehors de l’atmosphre terrestre. Ces rapports affirment galement que l’argent tir des cyberattaques reprsente une partie des cots de dveloppement des missiles de la Core du Nord.
La chane d’vnements qui a conduit la compromission initiale est esquisse la figure ci-dessous.
La premire charge utile livre au systme de la cible est un tlchargeur HTTP(S) que ESET a appel NickelLoader. Cet outil permet aux cybercriminels de dployer n’importe quel programme dans la mmoire de l’ordinateur de la victime. ESET analyse les outils malveillants utiliss par le groupe Lazarus lors de cette attaque, qui comprennent quatre chanes dexcution diffrentes, dlivrant trois types de charges utiles via un chargement de DLL. La charge utile la plus remarquable est la porte drobe LightlessCan, qui est une version amliore de BlindingCan, un RAT Lazarus HTTP(S) phare.
LightlessCan se distingue par sa capacit imiter les fonctionnalits dune large gamme de commandes Windows, ce qui lui permet dexcuter des oprations discrtes au sein du RAT lui-mme, sans avoir besoin douvrir une console ou dutiliser des processus externes. Cette technique renforce la furtivit du RAT et complique la dtection et lanalyse par les logiciels de scurit.
De plus, LightlessCan implmente des garde-fous dexcution pour empcher le dchiffrement non autoris de la charge utile sur des machines non prvues, telles que celles des chercheurs en scurit.
ESET attribue cette activit au groupe Lazarus, en particulier ses campagnes lies lopration DreamJob, qui visent infiltrer des entreprises stratgiques dans divers secteurs. Il fournit galement des dtails techniques sur les mthodes et les outils utiliss par le groupe, ainsi que des indicateurs de compromission (IoC) pour aider dtecter et prvenir ce type dattaque.
Lattribution est base sur les facteurs suivants, qui montrent une relation principalement avec la campagne sur le thme d’Amazon mentionne prcdemment :
1 Les logiciels malveillants (l’ensemble des intrusions)
- L’accs initial a t obtenu en prenant contact via LinkedIn, puis en convainquant la cible d’excuter un logiciel malveillant, dguis en test, afin de russir un processus d’embauche. Il s’agit d’une tactique connue de Lazarus, utilise au moins depuis l’opration DreamJob ;
- Les chercheurs ont observ de nouvelles variantes de charges utiles dj identifies dans l’affaire nerlandaise de l’anne dernire, telles que des chargeurs intermdiaires et la porte drobe BlindingCan lie Lazarus ;
- Les outils de cette campagne Lazarus utilisent plusieurs types de chiffrement fort – AES-128 et RC6 avec une cl de 256 bits – qui ont galement t utiliss dans la campagne sur le thme d’Amazon.
BlindingCan est un cheval de Troie d’accs distance qui communique avec son serveur C&C via HTTP(S). Il utilise un RC4 ou un AES (personnalis) pour le chiffrement et le d chiffrement de sa configuration et du trafic rseau.
Il envoie des informations sur l’environnement de la victime, comme le nom de l’ordinateur, l’adresse IP, le nom du produit Windows et le nom du processeur. Il prend en charge une trentaine de commandes qui comprennent des oprations sur le systme de fichiers de la victime, la gestion des processus de base, l’excution de lignes de commande, l’exfiltration de fichiers, la mise jour de la configuration, ainsi que le tlchargement et l’excution de charges utiles supplmentaires partir du centre de commande et de contrle des cybercriminels.
Les commandes sont indexes par des nombres entiers de 16 bits, commenant par l’index 0x2009 et allant progressivement jusqu’ 0x2057, certains indices tant ignors. Il utilise divers noms de paramtres dans leurs requtes HTTP POST, principalement associs des serveurs web exploitant des systmes de tableaux d’affichage, tels que bbs, article, boardid, s_board, page, idx_num.
2 L’infrastructure :
- pour les serveurs C&C de premier niveau (numrs dans la section Rseau la fin de ce billet), les attaquants ne crent pas leurs propres serveurs, mais compromettent des serveurs existants, gnralement ceux qui sont mal scuriss et qui hbergent des sites dont la maintenance est nglige. Il s’agit d’un comportement typique de Lazarus, mme si la confiance est faible ;
3 Cui bono :
- le pillage du savoir-faire d’une entreprise arospatiale est conforme aux objectifs long terme manifests par Lazarus ;
Une capture d’cran de cette conversation, obtenue dans le cadre de la coopration entre ESET et l’entreprise arospatiale espagnole, est illustre ci-dessous
Le premier contact tabli par le cybercriminel qui s’est fait passer pour un recruteur de Meta
Accs initial
Au dbut des attaques Lazarus, les cibles inconscientes sont gnralement convaincues de compromettre elles-mmes leurs systmes. cette fin, les cybercriminels emploient diffrentes stratgies ; par exemple, la cible est incite excuter une visionneuse PDF fournie par l’attaquant (et trojanise) pour voir le contenu intgral d’une offre d’emploi.
D’autre part, la cible est encourage se connecter avec un client SSL/VPN troyen, en recevant une adresse IP et des informations de connexion. Les deux scnarios sont dcrits dans un billet de blog de Microsoft publi lanne dernire. Les chercheurs de Microsoft ont observ que le spearphishing tait l’une des principales tactiques des acteurs de la menace, mais ils ont galement t observs en train d’utiliser des compromissions stratgiques de sites web et l’ingnierie sociale travers les mdias sociaux pour atteindre leurs objectifs.
Mise en uvre du lecteur PDF Sumatra et de l’installateur muPDF/Subliminal Recording
Selon Microsoft, les acteurs de la menace ont mis au point des versions malveillantes de deux lecteurs PDF, Sumatra PDF et muPDF/Subliminal Recording installer, qui servent de vecteur d’entre pour l’implant. Ce mcanisme de diffusion est souvent utilis dans le cadre d’offres d’emploi frauduleuses destines des personnes la recherche d’un emploi dans les secteurs des technologies de l’information et de la dfense.
Des versions sont souvent livres sous forme d’archives ZIP compresses. Dans cette archive, le destinataire reoit un fichier excutable excuter. Alors que le lecteur PDF Sumatra malveillant est un lecteur PDF entirement fonctionnel qui peut charger l’implant malveillant partir d’un faux PDF, le programme d’installation muPDF/Subliminal Recording peut installer la porte drobe sans charger de fichiers PDF malveillants.
Lecteur PDF Sumatra troyen
La version trojanise de Sumatra PDF Reader, appele SecurePDF.exe, est utilise par des groupes de cybercriminels de renom comme ZINC depuis au moins 2019. SecurePDF.exe est un chargeur modulaire qui peut installer l’implant ZetaNile en chargeant un fichier thme d’application de travail avec une extension .PDF. Le faux PDF contient un en-tte SPV005, une cl de dchiffrement, la charge utile chiffre de l’implant de deuxime phase et un PDF chiffr, qui est affich dans le lecteur PDF Sumatra lorsque le fichier est ouvert.
Une fois charg en mmoire, le logiciel malveillant de deuxime tape est configur pour envoyer le nom d’hte du systme de la victime et des informations sur l’appareil l’aide d’algorithmes de codage personnaliss un serveur de communication dans le cadre du processus d’enregistrement. Les cybercriminels peuvent installer d’autres logiciels malveillants sur les appareils compromis en utilisant le serveur de communication si ncessaire.
Dans le cas de lattaque du groupe Lazarus, les cybercriminels demandent la victime de prouver qu’elle matrise le langage de programmation C++. Deux excutables malveillants, Quiz1.exe et Quiz2.exe, ont t fournis cette fin et diffuss via les images Quiz1.iso et Quiz2.iso hberges sur une plateforme de stockage en cloud tierce. Les deux excutables sont des applications de ligne de commande trs simples qui demandent des donnes.
Le premier est un projet Hello World, qui est un programme trs basique, souvent compos d’une seule ligne de code, qui affiche le texte « Hello, World ! » lorsqu’il est excut. Le second affiche une squence de Fibonacci jusqu’au plus grand lment plus petit que le nombre saisi en entre. Une squence de Fibonacci est une srie de nombres dans laquelle chaque nombre est la somme des deux prcdents, commenant gnralement par 0 et 1 ; cependant, dans ce dfi malveillant, la squence commence par 1 et 2.
La sortie du programme leurre Quiz2.exe
La figure ci-dessus prsente un exemple de sortie du dfi de la squence de Fibonacci. Une fois la sortie affiche, les deux excutables dclenchent l’action malveillante consistant installer sur le systme de la cible des charges utiles supplmentaires provenant des images ISO. La tche d’un dveloppeur cibl consiste comprendre la logique du programme et le rcrire dans le langage de programmation C++.
La chane d’vnements compltant l’accs initial
La premire charge utile livre au systme de la cible est un tlchargeur HTTP(S) que nous avons appel NickelLoader. Cet outil permet aux attaquants de dployer n’importe quel programme dans la mmoire de l’ordinateur de la victime.
Outils post-compromission
Une fois que NickelLoader est excut sur le systme de la cible, les cybercriminels l’utilisent pour livrer deux types de RAT. L’un de ces chevaux de Troie d’accs distance est dj connu pour faire partie de la bote outils Lazarus, en particulier une variante de la porte drobe BlindingCan avec des fonctionnalits limites mais une logique de traitement des commandes identique.
Pour la distinguer, les chercheurs ont ajout le prfixe mini- devant le nom de la variante. En outre, les cybercriminels ont introduit un cheval de Troie d’accs distance non document publiquement jusqu’ prsent, que les chercheurs ont appel LightlessCan.
Les chevaux de Troie d’accs distance sont dploys en tant qu’tape finale de chanes d’tapes plus ou moins complexes et sont prcds d’excutables d’aide, tels que des droppers et des loaders. Un excutable est qualifi de dropper s’il contient une charge utile intgre, mme s’il n’est pas dpos sur le systme de fichiers mais charg directement dans la mmoire et excut.
L’aspect le plus inquitant de l’attaque est le nouveau type de charge utile, LightlessCan, un outil complexe et probablement volutif qui prsente un niveau lev de sophistication dans sa conception et son fonctionnement, ce qui reprsente une avance significative dans les capacits malveillantes par rapport son prdcesseur, BlindingCan.
Les cybercriminels peuvent dsormais limiter considrablement les traces d’excution de leurs programmes de ligne de commande Windows prfrs, qui sont largement utiliss dans leurs activits post-compromission. Cette manuvre a des implications considrables, car elle a un impact sur l’efficacit des solutions de surveillance en temps rel et des outils de criminalistique numrique post-mortem.
Les techniques utilises par l’acteur peuvent tre attnues en adoptant les considrations de scurit ci-dessous :
- utilisez les indicateurs de compromission inclus pour vrifier s’ils existent dans votre environnement et valuer les risques d’intrusion ;
- bloquer le trafic entrant provenant des adresses IP spcifies dans le tableau Indicateurs de compromission ;
- examiner toutes les activits d’authentification pour l’infrastructure d’accs distance, en particulier les comptes configurs avec une authentification facteur unique, afin de confirmer l’authenticit et d’enquter sur toute activit anormale ;
- activer l’authentification multifactorielle pour rduire les risques de compromission des informations d’identification et s’assurer que l’authentification multifactorielle est applique toutes les connexions distance ;
- sensibiliser les utilisateurs finaux la prvention des attaques par des logiciels malveillants, notamment en ignorant ou en supprimant les courriels non sollicits et inattendus contenant des pices jointes ISO ;
- encouragez les utilisateurs finaux pratiquer une bonne hygine d’identification – limitez l’utilisation de comptes avec des privilges d’administrateur local ou de domaine et activez le pare-feu Microsoft Defender pour prvenir les infections par des logiciels malveillants et touffer la propagation ;
- sensibiliser les utilisateurs finaux la protection des informations personnelles et professionnelles dans les mdias sociaux, au filtrage des communications non sollicites, l’identification des piges dans les courriels de spear-phishing et les points d’eau, et au signalement des tentatives de reconnaissance et d’autres activits suspectes.
Source : ESET
Et vous ?
Quel est votre avis sur le sujet ?
Quelles sont selon vous, les mesures de scurit et de prvention que lentreprise arospatiale espagnole et dautres entreprises similaires devraient prendre pour se protger contre ce type dattaque ?
Comment les groupes de cybercriminels se procurent-ils et dveloppent-ils ses outils malveillants, tels que LightlessCan ?
Voir aussi :