Lazarus, un faux recruteur, attire les employés d'une entreprise aérospatiale avec un défi de codage en C++,

Qui étaient des chevaux de Troie, selon les chercheurs d'ESET

Lazarus, un faux recruteur, attire les employés d'une entreprise aérospatiale avec un défi de codage en C++,
qui étaient des chevaux de Troie, selon les chercheurs d'ESET

Une entreprise aérospatiale espagnole a été la cible d’une attaque du groupe Lazarus, un acteur de la menace soutenu par la Corée du Nord, selon les chercheurs d’ESET. Le groupe a utilisé une tactique d’ingénierie sociale pour tromper les employés de l’entreprise et leur faire exécuter des fichiers malveillants sur leurs machines. Le groupe s’est fait passer pour un recruteur de Meta, la société à l’origine de Facebook, Instagram et WhatsApp, et a contacté les employés via LinkedIn, une plateforme de réseau social professionnel. Le faux recruteur a envoyé aux employés deux défis de codage en C++, qui étaient en fait des chevaux de Troie conçus pour installer des portes dérobées sur les systèmes cibles.

Les entreprises du secteur aérospatial ne sont pas une cible inhabituelle pour les groupes de lutte contre les menaces persistantes avancées (advanced persistent threat ou APT) soutenus par la Corée du Nord. Le pays a procédé à de multiples essais nucléaires et lancé des missiles balistiques intercontinentaux, en violation des résolutions du Conseil de sécurité de l'Organisation des Nations unies (ONU). L'ONU surveille les activités nucléaires de la Corée du Nord afin d'empêcher le développement et la prolifération d'armes nucléaires ou d'armes de destruction massive, et publie des rapports semestriels sur ces activités.

Selon ces rapports, les groupes APT soutenus par la Corée du Nord attaquent les entreprises aérospatiales pour tenter d'accéder à des technologies sensibles et au savoir-faire aérospatial, car les missiles balistiques intercontinentaux passent leur phase de mi-parcours dans l'espace situé en dehors de l'atmosphère terrestre. Ces rapports affirment également que l'argent tiré des cyberattaques représente une partie des coûts de développement des missiles de la Corée du Nord.
La chaîne d'événements qui a conduit à la compromission initiale est esquissée à la figure ci-dessous.


La première charge utile livrée au système de la cible est un téléchargeur HTTP(S) que ESET a appelé NickelLoader. Cet outil permet aux cybercriminels de déployer n'importe quel programme dans la mémoire de l'ordinateur de la victime. ESET analyse les outils malveillants utilisés par le groupe Lazarus lors de cette attaque, qui comprennent quatre chaînes d’exécution différentes, délivrant trois types de charges utiles via un chargement de DLL. La charge utile la plus remarquable est la porte dérobée LightlessCan, qui est une version améliorée de BlindingCan, un RAT Lazarus HTTP(S) phare.

LightlessCan se distingue par sa capacité à imiter les fonctionnalités d’une large gamme de commandes Windows, ce qui lui permet d’exécuter des opérations discrètes au sein du RAT lui-même, sans avoir besoin d’ouvrir une console ou d’utiliser des processus externes. Cette technique renforce la furtivité du RAT et complique la détection et l’analyse par les logiciels de sécurité.

De plus, LightlessCan implémente des garde-fous d’exécution pour empêcher le déchiffrement non autorisé de la charge utile sur des machines non prévues, telles que celles des chercheurs en sécurité.

ESET attribue cette activité au groupe Lazarus, en particulier à ses campagnes liées à l’opération DreamJob, qui visent à infiltrer des entreprises stratégiques dans divers secteurs. Il fournit également des détails techniques sur les méthodes et les outils utilisés par le groupe, ainsi que des indicateurs de compromission (IoC) pour aider à détecter et à prévenir ce type d’attaque.

L’attribution est basée sur les facteurs suivants, qui montrent une relation principalement avec la campagne sur le thème d'Amazon mentionnée précédemment :

1 Les logiciels malveillants (l'ensemble des intrusions)

• L'accès initial a été obtenu en prenant contact via LinkedIn, puis en convainquant la cible d'exécuter un logiciel malveillant, déguisé en test, afin de réussir un processus d'embauche. Il s'agit d'une tactique connue de Lazarus, utilisée au moins depuis l'opération DreamJob ;
• Les chercheurs ont observé de nouvelles variantes de charges utiles déjà identifiées dans l'affaire néerlandaise de l'année dernière, telles que des chargeurs intermédiaires et la porte dérobée BlindingCan liée à Lazarus ;
• Les outils de cette campagne Lazarus utilisent plusieurs types de chiffrement fort - AES-128 et RC6 avec une clé de 256 bits - qui ont également été utilisés dans la campagne sur le thème d'Amazon.

BlindingCan est un cheval de Troie d'accès à distance qui communique avec son serveur C&C via HTTP(S). Il utilise un RC4 ou un AES (personnalisé) pour le chiffrement et le dé chiffrement de sa configuration et du trafic réseau.

Il envoie des informations sur l'environnement de la victime, comme le nom de l'ordinateur, l'adresse IP, le nom du produit Windows et le nom du processeur. Il prend en charge une trentaine de commandes qui comprennent des opérations sur le système de fichiers de la victime, la gestion des processus de base, l'exécution de lignes de commande, l'exfiltration de fichiers, la mise à jour de la configuration, ainsi que le téléchargement et l'exécution de charges utiles supplémentaires à partir du centre de commande et de contrôle des cybercriminels.

Les commandes sont indexées par des nombres entiers de 16 bits, commençant par l'index 0x2009 et allant progressivement jusqu'à 0x2057, certains indices étant ignorés. Il utilise divers noms de paramètres dans leurs requêtes HTTP POST, principalement associés à des serveurs web exploitant des systèmes de tableaux d'affichage, tels que bbs, article, boardid, s_board, page, idx_num.

2 L'infrastructure :

• pour les serveurs C&C de premier niveau (énumérés dans la section Réseau à la fin de ce billet), les attaquants ne créent pas leurs propres serveurs, mais compromettent des serveurs existants, généralement ceux qui sont mal sécurisés et qui hébergent des sites dont la maintenance est négligée. Il s'agit d'un comportement typique de Lazarus, même si la confiance est faible ;

3 Cui bono :

• le pillage du savoir-faire d'une entreprise aérospatiale est conforme aux objectifs à long terme manifestés par Lazarus ;

Une capture d'écran de cette conversation, obtenue dans le cadre de la coopération entre ESET et l'entreprise aérospatiale espagnole, est illustrée ci-dessous

Le premier contact établi par le cybercriminel qui s'est fait passer pour un recruteur de Meta

Accès initial

Au début des attaques Lazarus, les cibles inconscientes sont généralement convaincues de compromettre elles-mêmes leurs systèmes. À cette fin, les cybercriminels emploient différentes stratégies ; par exemple, la cible est incitée à exécuter une visionneuse PDF fournie par l'attaquant (et trojanisée) pour voir le contenu intégral d'une offre d'emploi.

D'autre part, la cible est encouragée à se connecter avec un client SSL/VPN troyen, en recevant une adresse IP et des informations de connexion. Les deux scénarios sont décrits dans un billet de blog de Microsoft publié l’année dernière. Les chercheurs de Microsoft ont observé que le spearphishing était l'une des principales tactiques des acteurs de la menace, mais ils ont également été observés en train d'utiliser des compromissions stratégiques de sites web et l'ingénierie sociale à travers les médias sociaux pour atteindre leurs objectifs.

Mise en œuvre du lecteur PDF Sumatra et de l'installateur muPDF/Subliminal Recording

Selon Microsoft, les acteurs de la menace ont mis au point des versions malveillantes de deux lecteurs PDF, Sumatra PDF et muPDF/Subliminal Recording installer, qui servent de vecteur d'entrée pour l'implant. Ce mécanisme de diffusion est souvent utilisé dans le cadre d'offres d'emploi frauduleuses destinées à des personnes à la recherche d'un emploi dans les secteurs des technologies de l'information et de la défense.

Des versions sont souvent livrées sous forme d'archives ZIP compressées. Dans cette archive, le destinataire reçoit un fichier exécutable à exécuter. Alors que le lecteur PDF Sumatra malveillant est un lecteur PDF entièrement fonctionnel qui peut charger l'implant malveillant à partir d'un faux PDF, le programme d'installation muPDF/Subliminal Recording peut installer la porte dérobée sans charger de fichiers PDF malveillants.

Lecteur PDF Sumatra troyen

La version trojanisée de Sumatra PDF Reader, appelée SecurePDF.exe, est utilisée par des groupes de cybercriminels de renom comme ZINC depuis au moins 2019. SecurePDF.exe est un chargeur modulaire qui peut installer l'implant ZetaNile en chargeant un fichier à thème d'application de travail avec une extension .PDF. Le faux PDF contient un en-tête SPV005, une clé de déchiffrement, la charge utile chiffrée de l'implant de deuxième phase et un PDF chiffré, qui est affiché dans le lecteur PDF Sumatra lorsque le fichier est ouvert.

Une fois chargé en mémoire, le logiciel malveillant de deuxième étape est configuré pour envoyer le nom d'hôte du système de la victime et des informations sur l'appareil à l'aide d'algorithmes de codage personnalisés à un serveur de communication dans le cadre du processus d'enregistrement. Les cybercriminels peuvent installer d'autres logiciels malveillants sur les appareils compromis en utilisant le serveur de communication si nécessaire.


Dans le cas de l’attaque du groupe Lazarus, les cybercriminels demandent à la victime de prouver qu'elle maîtrise le langage de programmation C++. Deux exécutables malveillants, Quiz1.exe et Quiz2.exe, ont été fournis à cette fin et diffusés via les images Quiz1.iso et Quiz2.iso hébergées sur une plateforme de stockage en cloud tierce. Les deux exécutables sont des applications de ligne de commande très simples qui demandent des données.

Le premier est un projet Hello World, qui est un programme très basique, souvent composé d'une seule ligne de code, qui affiche le texte "Hello, World !" lorsqu'il est exécuté. Le second affiche une séquence de Fibonacci jusqu'au plus grand élément plus petit que le nombre saisi en entrée. Une séquence de Fibonacci est une série de nombres dans laquelle chaque nombre est la somme des deux précédents, commençant généralement par 0 et 1 ; cependant, dans ce défi malveillant, la séquence commence par 1 et 2.

La sortie du programme leurre Quiz2.exe

La figure ci-dessus présente un exemple de sortie du défi de la séquence de Fibonacci. Une fois la sortie affichée, les deux exécutables déclenchent l'action malveillante consistant à installer sur le système de la cible des charges utiles supplémentaires provenant des images ISO. La tâche d'un développeur ciblé consiste à comprendre la logique du programme et à le réécrire dans le langage de programmation C++.

La chaîne d'événements complétant l'accès initial

La première charge utile livrée au système de la cible est un téléchargeur HTTP(S)...