Lazarus, un faux recruteur, attire les employés d'une entreprise aérospatiale avec un défi de codage en C++,

Qui étaient des chevaux de Troie, selon les chercheurs d'ESET

Une entreprise aérospatiale espagnole a été la cible d’une attaque du groupe Lazarus, un acteur de la menace soutenu par la Corée du Nord, selon les chercheurs d’ESET. Le groupe a utilisé une tactique d’ingénierie sociale pour tromper les employés de l’entreprise et leur faire exécuter des fichiers malveillants sur leurs machines. Le groupe s’est fait passer pour un recruteur de Meta, la société à l’origine de Facebook, Instagram et WhatsApp, et a contacté les employés via LinkedIn, une plateforme de réseau social professionnel. Le faux recruteur a envoyé aux employés deux défis de codage en C++, qui étaient en fait des chevaux de Troie conçus pour installer des portes dérobées sur les systèmes cibles.

Les entreprises du secteur aérospatial ne sont pas une cible inhabituelle pour les groupes de lutte contre les menaces persistantes avancées (advanced persistent threat ou APT) soutenus par la Corée du Nord. Le pays a procédé à de multiples essais nucléaires et lancé des missiles balistiques intercontinentaux, en violation des résolutions du Conseil de sécurité de l'Organisation des Nations unies (ONU). L'ONU surveille les activités nucléaires de la Corée du Nord afin d'empêcher le développement et la prolifération d'armes nucléaires ou d'armes de destruction massive, et publie des rapports semestriels sur ces activités.

Selon ces rapports, les groupes APT soutenus par la Corée du Nord attaquent les entreprises aérospatiales pour tenter d'accéder à des technologies sensibles et au savoir-faire aérospatial, car les missiles balistiques intercontinentaux passent leur phase de mi-parcours dans l'espace situé en dehors de l'atmosphère terrestre. Ces rapports affirment également que l'argent tiré des cyberattaques représente une partie des coûts de développement des missiles de la Corée du Nord.
La chaîne d'événements qui a conduit à la compromission initiale est esquissée à la figure ci-dessous.


La première charge utile livrée au système de la cible est un téléchargeur HTTP(S) que ESET a appelé NickelLoader. Cet outil permet aux cybercriminels de déployer n'importe quel programme dans la mémoire de l'ordinateur de la victime. ESET analyse les outils malveillants utilisés par le groupe Lazarus lors de cette attaque, qui comprennent quatre chaînes d’exécution différentes, délivrant trois types de charges utiles via un chargement de DLL. La charge utile la plus remarquable est la porte dérobée LightlessCan, qui est une version améliorée de BlindingCan, un RAT Lazarus HTTP(S) phare.

LightlessCan se distingue par sa capacité à imiter les fonctionnalités d’une large gamme de commandes Windows, ce qui lui permet d’exécuter des opérations discrètes au sein du RAT lui-même, sans avoir besoin d’ouvrir une console ou d’utiliser des processus externes. Cette technique renforce la furtivité du RAT et complique la détection et l’analyse par les logiciels de sécurité.

De plus, LightlessCan implémente des garde-fous d’exécution pour empêcher le déchiffrement non autorisé de la charge utile sur des machines non prévues, telles que celles des chercheurs en sécurité.

ESET attribue cette activité au groupe Lazarus, en particulier à ses campagnes liées à l’opération DreamJob, qui visent à infiltrer des entreprises stratégiques dans divers secteurs. Il fournit également des détails techniques sur les méthodes et les outils utilisés par le groupe, ainsi que des indicateurs de compromission (IoC) pour aider à détecter et à prévenir ce type d’attaque.

L’attribution est basée sur les facteurs suivants, qui montrent une relation principalement avec la campagne sur le thème d'Amazon mentionnée précédemment :

1 Les logiciels malveillants (l'ensemble des intrusions)

• L'accès initial a été obtenu en prenant contact via LinkedIn, puis en convainquant la cible d'exécuter un logiciel malveillant, déguisé en test, afin de réussir un processus d'embauche. Il s'agit d'une tactique connue de Lazarus, utilisée au moins depuis l'opération DreamJob ;
• Les chercheurs ont observé de nouvelles variantes de charges utiles déjà identifiées dans l'affaire néerlandaise de l'année dernière, telles que des chargeurs intermédiaires et la porte dérobée BlindingCan liée à Lazarus ;
• Les outils de cette campagne Lazarus utilisent plusieurs types de chiffrement fort - AES-128 et RC6 avec une clé de 256 bits - qui ont également été utilisés dans la campagne sur le thème d'Amazon.

BlindingCan est un cheval de Troie d'accès à distance qui communique avec son serveur C&C via HTTP(S). Il utilise un RC4 ou un AES (personnalisé) pour le chiffrement et le dé chiffrement de sa configuration et du trafic réseau.

Il envoie des informations sur l'environnement de la victime, comme le nom de l'ordinateur, l'adresse IP, le nom du produit Windows et le nom du processeur. Il prend en charge une trentaine de commandes qui comprennent des opérations sur le système de fichiers de la victime, la gestion des processus de base, l'exécution de lignes de commande, l'exfiltration de fichiers, la mise à jour de la configuration, ainsi que le téléchargement et l'exécution de charges utiles supplémentaires à partir du centre de commande et de contrôle des cybercriminels.

Les commandes sont indexées par des nombres entiers de 16 bits, commençant par l'index 0x2009 et allant progressivement jusqu'à 0x2057, certains indices étant ignorés. Il utilise divers noms de paramètres dans leurs requêtes HTTP POST, principalement associés à des serveurs web exploitant des systèmes de tableaux d'affichage, tels que bbs, article, boardid, s_board, page, idx_num.

2 L'infrastructure :

• pour les serveurs C&C de premier niveau (énumérés dans la section Réseau à la fin de ce billet), les attaquants ne créent pas leurs propres serveurs, mais compromettent des serveurs existants, généralement ceux qui sont mal sécurisés et qui hébergent des sites dont la maintenance est négligée. Il s'agit d'un comportement typique de Lazarus, même si la confiance est faible ;

3 Cui bono :

• le pillage du savoir-faire d'une entreprise aérospatiale est conforme aux objectifs à long terme manifestés par Lazarus ;

Une capture d'écran de cette conversation, obtenue dans le cadre de la coopération entre ESET et l'entreprise aérospatiale espagnole, est illustrée ci-dessous

Le premier contact établi par le cybercriminel qui s'est fait passer pour un recruteur de Meta

Accès initial

Au début des attaques Lazarus, les cibles inconscientes sont généralement convaincues de compromettre elles-mêmes leurs systèmes. À cette fin, les cybercriminels emploient différentes stratégies ; par exemple, la cible est incitée à exécuter une visionneuse PDF fournie par l'attaquant (et trojanisée) pour voir le contenu...