Depuis des années, le groupe Lazarus, acteur de menaces parrainé par l'État nord-coréen, crée de faux comptes LinkedIn et publie de fausses offres d'emploi sur internet. Ils proposent à leurs victimes, souvent des développeurs, des offres alléchantes, des salaires élevés et de nombreux avantages. Mais au lieu d'obtenir le poste, après quelques entretiens, la seule chose que ces personnes obtiennent, ce sont des logiciels malveillants, souvent à partir de fichiers .PDF qui se font passer pour des informations sur le poste et autres.
Aujourd'hui, des chercheurs en cybersécurité de ReversingLabs affirment que Lazarus continue de faire la même chose, mais qu'il cible désormais les développeurs Python avec un faux projet de test de codage. Le rapport montre que le groupe Lazarus fait évoluer sa campagne de piratage "faux emplois".
Liste des fichiers pour le test d'entretien
Apparemment, le groupe commencerait toujours de la même manière - en se faisant passer pour quelqu'un sur LinkedIn. Dans le rapport, il s'agit de la banque Capital One. Il héberge ensuite le logiciel malveillant sur GitHub, en le faisant passer pour un projet de gestionnaire de mot de passe. Ensuite, ils trouvaient des victimes convenables et, à un moment donné, leur demandaient de tester leurs compétences.
Le "test" comprend le téléchargement et l'installation du gestionnaire de mots de passe, puis la "chasse" aux bogues. Le tout doit être terminé en moins d'une demi-heure. Les escrocs prétendent que cette limite empêche les candidats de tricher, mais ReversingLabs affirme que c'est pour empêcher les victimes de repérer la ruse et d'agir en conséquence.
Le logiciel malveillant agit comme un téléchargeur, permettant aux attaquants de déployer des codes malveillants secondaires, en fonction de l'environnement compromis. La campagne est baptisée "VMConnect campaign" et est active depuis août 2023, soit depuis plus d'un an. ReversingLabs pense que la campagne est toujours en cours.
Les Nord-Coréens s'en prennent généralement aux développeurs qui travaillent sur des projets de cryptomonnaies, car cela leur permet de voler l'argent des gens et de l'utiliser pour financer l'appareil d'État et le programme d'armement du pays. L'un des plus gros casses de Lazarus leur a rapporté plus d'un demi-milliard de dollars.
Les messages dans les fichiers du test
Voici les conclusions du rapport de ReversingLabs :
L'une des conclusions évidentes de nos dernières découvertes et de la campagne VMConnect précédemment documentée est que "cette histoire n'est pas terminée". Nos recherches ont révélé la poursuite d'activités malveillantes ciblant les développeurs travaillant au sein d'organisations sensibles, avec des paquets Python malveillants qui reflètent étroitement les types de menaces documentées en 2023 dans le cadre de la campagne VMConnect. Comme nous l'avons noté, les détails révélés par notre analyse des paquets en question montrent clairement que les acteurs malveillants ciblaient les développeurs et cherchaient à installer des téléchargeurs malveillants sur les systèmes des développeurs, capables d'aller chercher des logiciels malveillants de deuxième et troisième stade, tels que des portes dérobées et des voleurs d'informations.
Tout comme les pièces jointes malveillantes envoyées par courrier électronique ou par des liens Internet, les paquets de "test" pour développeurs envoyés par LinkedIn DM ont probablement permis de prendre pied sur les terminaux des développeurs et, par la suite, d'exploiter les autorisations des développeurs pour se déplacer latéralement et exploiter d'autres actifs informatiques de plus grande valeur.
Les campagnes de ce type, qui s'appuient sur des progiciels et des plateformes open source pour cibler les développeurs, sont de plus en plus répandues parmi les groupes de cybercriminels et d'États-nations sophistiqués. Le groupe Lazarus de Corée du Nord, qui serait à l'origine de cette campagne, est un bon indicateur de l'évolution de ces menaces. Lazarus est un acteur de menace avancé et très actif qui se concentre sur les gains financiers et le vol de cryptomonnaies au profit du gouvernement de la Corée du Nord. Les rapports sur les menaces émanant d'autres groupes de recherche montrent que Lazarus et d'autres acteurs nord-coréens utilisent un large éventail de moyens offensifs pour atteindre leurs objectifs, notamment en ciblant les développeurs et les organisations de développement afin d'infiltrer des réseaux sensibles.
Pour faire face à ce risque croissant, les organisations doivent être à l'affût de ces téléchargements et apprendre à leurs développeurs et à leur personnel technique à se méfier de toute tentative visant à les inciter à télécharger et à exécuter sur leur système un code provenant d'une source inconnue.
Source : Rapport de ReversingLabs
Et vous ?
Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?
Voir aussi :
KnowBe4, une société de cybersécurité, découvre qu'un travailleur à distance est en réalité un pirate nord-coréen, lorsque le Mac fourni par l'entreprise a commencé à charger des logiciels malveillants
Des pirates nord-coréens seraient à l'origine du piratage de 230 millions de dollars de WazirX, la bourse de cryptomonnaies indienne. Un rapport d'analyse de la blockchain qualifie le vol de sans précédent
Les fichiers PDF chiffrés constituent la dernière astuce des pirates informatiques pour vous transmettre des logiciels malveillants, qui exfiltrent ensuite vos informations personnelles