Le Lazarus Group, le groupe de menaces persistantes avancées (APT) aligné sur les intérêts du gouvernement nord-coréen, orchestre une campagne de cyberattaques contre des organisations travaillant dans la verticale des crypto-monnaies situées en Allemagne, au Japon, aux Pays-Bas, à Singapour, au Royaume-Uni et aux États-Unis, selon une nouvelle recherche de F-Secure.
Lazarus, qui porte également le nom d’APT38 et qui était à l’origine du piratage de Sony Pictures en 2014 et de l’incident WannaCry en 2017, a été repéré par les chercheurs de F-Secure lors d’une enquête de réponse aux incidents menée par la société de sécurité finlandaise chez une victime. Au cours de ce processus, elle a constaté que les implants malveillants utilisés dans l’attaque étaient pratiquement identiques à d’autres outils précédemment utilisés par Lazarus.
« Nos recherches, qui comprennent des informations provenant de nos unités de réponse aux incidents, de détection et de réponse gérées et de défense tactique, ont révélé que cette attaque présente un certain nombre de similitudes avec l’activité connue du groupe Lazarus. Nous sommes donc convaincus qu’il est à l’origine de l’incident », a déclaré Matt Lawrence, directeur de la détection et de la réponse chez F-Secure.
« Les preuves suggèrent également que cela fait partie d’une campagne en cours visant des organisations dans plus d’une douzaine de pays, ce qui rend l’attribution importante. Les entreprises peuvent utiliser le rapport pour se familiariser avec cet incident, les TTP [tactiques, techniques et procédures] et le groupe Lazarus en général, afin de se protéger contre de futures attaques. »
Dans un rapport récemment publié, F-Secure expose les détails de l’attaque, qui semble commencer par une attaque convaincante de spear-phishing menée via LinkedIn sous la forme d’une fausse offre d’emploi adaptée au profil de sa cible.
Cet e-mail de phishing était très similaire aux échantillons disponibles publiquement téléchargés sur VirusTotal, et contenait un document censé être protégé par le Règlement général sur la protection des données (RGPD) et devant être activé dans Microsoft Word pour être accessible. L’activation de ce contenu a entraîné l’exécution d’un code macro intégré malveillant sur le système de la victime.
Le rapport détaille ensuite la chaîne d’infection utilisée dans cette campagne particulière, ainsi que d’autres TTP utilisées par Lazarus.
Lawrence a averti que Lazarus déployait des efforts considérables pour contourner les défenses de ses cibles pendant l’attaque, par exemple en désactivant les logiciels antivirus sur les hôtes compromis et en supprimant les preuves d’implants malveillants.
Ce n’est pas la première fois que Lazarus est lié à des attaques contre des opérateurs de crypto-monnaies – qu’il perpètre probablement avec l’agenda relativement simple de voler de l’argent pour générer des fonds pour le régime nord-coréen isolé et appauvri.
L’attention du groupe s’est d’abord tournée vers les échanges de crypto-monnaies sud-coréens en 2017, lorsqu’il a volé 7 millions de dollars sur l’échange Bithumb. Des recherches ultérieures l’ont lié à d’autres campagnes de spear-phishing contre des cibles sud-coréennes, ainsi qu’au cryptomining.
F-Secure a déclaré que Lazarus restait une menace permanente et que les organisations du secteur des crypto-monnaies devaient être particulièrement vigilantes, mais elle a également averti que la campagne pourrait s’étendre pour cibler les éléments de la chaîne d’approvisionnement du secteur, et que certaines des nouvelles infrastructures de commande et de contrôle (C2) identifiées au cours de la recherche suggèrent qu’elle pourrait également viser les organisations d’investissement financier.
Leave a Reply