Lazarus, un faux recruteur, attire les employés d'une entreprise aérospatiale avec un défi de codage en C++,

Qui étaient des chevaux de Troie, selon les chercheurs d'ESET

Une entreprise aérospatiale espagnole a été la cible d’une attaque du groupe Lazarus, un acteur de la menace soutenu par la Corée du Nord, selon les chercheurs d’ESET. Le groupe a utilisé une tactique d’ingénierie sociale pour tromper les employés de l’entreprise et leur faire exécuter des fichiers malveillants sur leurs machines. Le groupe s’est fait passer pour un recruteur de Meta, la société à l’origine de Facebook, Instagram et WhatsApp, et a contacté les employés via LinkedIn, une plateforme de réseau social professionnel. Le faux recruteur a envoyé aux employés deux défis de codage en C++, qui étaient en fait des chevaux de Troie conçus pour installer des portes dérobées sur les systèmes cibles.

Les entreprises du secteur aérospatial ne sont pas une cible inhabituelle pour les groupes de lutte contre les menaces persistantes avancées (advanced persistent threat ou APT) soutenus par la Corée du Nord. Le pays a procédé à de multiples essais nucléaires et lancé des missiles balistiques intercontinentaux, en violation des résolutions du Conseil de sécurité de l'Organisation des Nations unies (ONU). L'ONU surveille les activités nucléaires de la Corée du Nord afin d'empêcher le développement et la prolifération d'armes nucléaires ou d'armes de destruction massive, et publie des rapports semestriels sur ces activités.

Selon ces rapports, les groupes APT soutenus par la Corée du Nord attaquent les entreprises aérospatiales pour tenter d'accéder à des technologies sensibles et au savoir-faire aérospatial, car les missiles balistiques intercontinentaux passent leur phase de mi-parcours dans l'espace situé en dehors de l'atmosphère terrestre. Ces rapports affirment également que l'argent tiré des cyberattaques représente une partie des coûts de développement des missiles de la Corée du Nord.
La chaîne d'événements qui a conduit à la compromission initiale est esquissée à la figure ci-dessous.


La première charge utile livrée au système de la cible est un téléchargeur HTTP(S) que ESET a appelé NickelLoader. Cet outil permet aux cybercriminels de déployer n'importe quel programme dans la mémoire de l'ordinateur de la victime. ESET analyse les outils malveillants utilisés par le groupe Lazarus lors de cette attaque, qui comprennent quatre chaînes d’exécution différentes, délivrant trois types de charges utiles via un chargement de DLL. La charge utile la plus remarquable est la porte dérobée LightlessCan, qui est une version améliorée de BlindingCan, un RAT Lazarus HTTP(S) phare.

LightlessCan se distingue par sa capacité à imiter les fonctionnalités d’une large gamme de commandes Windows, ce qui lui permet d’exécuter des opérations discrètes au sein du RAT lui-même, sans avoir besoin d’ouvrir une console ou d’utiliser des processus externes. Cette technique renforce la furtivité du RAT et complique la détection et l’analyse par les logiciels de sécurité.

De plus, LightlessCan implémente des garde-fous d’exécution pour empêcher le déchiffrement non autorisé de la charge utile sur des machines non prévues, telles que celles des chercheurs en sécurité.

ESET attribue cette activité au groupe Lazarus, en particulier à ses campagnes liées à l’opération DreamJob, qui visent à infiltrer des entreprises stratégiques dans divers secteurs. Il fournit également des détails techniques sur les méthodes et les outils utilisés par le groupe, ainsi que des indicateurs de compromission (IoC) pour aider à détecter et à prévenir ce type d’attaque.

L’attribution est basée sur les facteurs suivants, qui montrent une relation principalement avec la campagne sur le thème d'Amazon mentionnée précédemment :

1 Les logiciels malveillants (l'ensemble des intrusions)

• L'accès initial a été obtenu en prenant contact via LinkedIn, puis en convainquant la cible d'exécuter un logiciel malveillant, déguisé en test, afin de réussir un processus d'embauche. Il s'agit d'une tactique connue de Lazarus, utilisée au moins depuis l'opération DreamJob ;
• Les chercheurs ont observé de nouvelles variantes de charges utiles déjà identifiées dans l'affaire néerlandaise de l'année dernière, telles que des chargeurs intermédiaires et la porte dérobée BlindingCan liée à Lazarus ;
• Les outils de cette campagne Lazarus utilisent plusieurs types de chiffrement fort - AES-128 et RC6 avec une clé de 256 bits - qui ont également été utilisés dans la campagne sur le thème d'Amazon.

BlindingCan est un cheval de Troie d'accès à distance qui communique avec son serveur C&C via HTTP(S). Il utilise un RC4 ou un AES (personnalisé) pour le chiffrement et le dé chiffrement de sa configuration et du trafic réseau.

Il envoie des informations sur l'environnement de la victime, comme le nom de l'ordinateur, l'adresse IP, le nom du produit Windows et le nom du processeur. Il prend en charge une trentaine de commandes qui comprennent des opérations sur le système de fichiers de la victime, la gestion des processus de base, l'exécution de lignes de commande, l'exfiltration de fichiers, la mise à jour de la configuration, ainsi que le téléchargement et l'exécution de charges utiles supplémentaires à partir du centre de commande et de contrôle des cybercriminels.

Les commandes sont indexées par des nombres entiers de 16 bits, commençant par l'index 0x2009 et allant progressivement jusqu'à 0x2057, certains indices étant ignorés. Il utilise divers noms de paramètres dans leurs requêtes HTTP POST, principalement associés à des serveurs web exploitant des systèmes de tableaux d'affichage, tels que bbs, article, boardid, s_board, page, idx_num.

2 L'infrastructure :

• pour les serveurs C&C de premier niveau (énumérés dans la section Réseau à la fin de ce billet), les attaquants ne créent pas leurs propres serveurs, mais compromettent des serveurs existants, généralement ceux qui sont mal sécurisés et qui hébergent des sites dont la maintenance est négligée. Il s'agit d'un comportement typique de Lazarus, même si la confiance est faible ;

3 Cui bono :

• le pillage du savoir-faire d'une entreprise aérospatiale est conforme aux objectifs à long terme manifestés par Lazarus ;

Une capture d'écran de cette conversation, obtenue dans le cadre de la coopération entre ESET et l'entreprise aérospatiale espagnole, est illustrée ci-dessous

Le premier contact établi par le cybercriminel qui s'est fait passer pour un recruteur de Meta

Accès initial

Au début des attaques Lazarus, les cibles inconscientes sont généralement convaincues de compromettre elles-mêmes leurs systèmes. À cette fin, les cybercriminels emploient différentes stratégies ; par exemple, la cible est incitée à exécuter une visionneuse PDF fournie par l'attaquant (et trojanisée) pour voir le contenu intégral d'une offre d'emploi.

D'autre part, la cible est encouragée à se connecter avec un client SSL/VPN troyen, en recevant une adresse IP et des informations de connexion. Les deux scénarios sont décrits dans un billet de blog de Microsoft publié l’année dernière. Les chercheurs de Microsoft ont observé que le spearphishing était l'une des principales tactiques des acteurs de la menace, mais ils ont également été observés en train d'utiliser des compromissions stratégiques de sites web et l'ingénierie sociale à travers les médias sociaux pour atteindre leurs objectifs.

Mise en œuvre du lecteur PDF Sumatra et de l'installateur muPDF/Subliminal Recording

Selon Microsoft, les acteurs de la menace ont mis au point des versions malveillantes de deux lecteurs PDF, Sumatra PDF et muPDF/Subliminal Recording installer, qui servent de vecteur d'entrée pour l'implant. Ce mécanisme de diffusion est souvent utilisé dans le cadre d'offres d'emploi frauduleuses destinées à des personnes à la recherche d'un emploi dans les secteurs des technologies de l'information et de la défense.

Des versions sont souvent livrées sous forme d'archives ZIP compressées. Dans cette archive, le destinataire reçoit un fichier exécutable à exécuter. Alors que le lecteur PDF Sumatra malveillant est un lecteur PDF entièrement fonctionnel qui peut charger l'implant malveillant à partir d'un faux PDF, le programme d'installation muPDF/Subliminal Recording peut installer la porte dérobée sans charger de fichiers PDF malveillants.

Lecteur PDF Sumatra troyen

La version trojanisée de Sumatra PDF Reader, appelée SecurePDF.exe, est utilisée par des groupes de cybercriminels de renom comme ZINC depuis au moins 2019. SecurePDF.exe est un chargeur modulaire qui peut installer l'implant ZetaNile en chargeant un fichier à thème d'application de travail avec une extension .PDF. Le faux PDF contient un en-tête SPV005, une clé de déchiffrement, la charge utile chiffrée de l'implant de deuxième phase et un PDF chiffré, qui est affiché dans le lecteur PDF Sumatra lorsque le fichier est ouvert.

Une fois chargé en mémoire, le logiciel malveillant de deuxième étape est configuré pour envoyer le nom d'hôte du système de la victime et des informations sur l'appareil à l'aide d'algorithmes de codage personnalisés à un serveur de communication dans le cadre du processus d'enregistrement. Les cybercriminels peuvent installer d'autres logiciels malveillants sur les appareils compromis en utilisant le serveur de communication si nécessaire.


Dans le cas de l’attaque du groupe Lazarus, les cybercriminels demandent à la victime de prouver qu'elle maîtrise le langage de programmation C++. Deux exécutables malveillants, Quiz1.exe et Quiz2.exe, ont été fournis à cette fin et diffusés via les images Quiz1.iso et Quiz2.iso hébergées sur une plateforme de stockage en cloud tierce. Les deux exécutables sont des applications de ligne de commande très simples qui demandent des données.

Le premier est un projet Hello World, qui est un programme très basique, souvent composé d'une seule ligne de code, qui affiche le texte "Hello, World !" lorsqu'il est exécuté. Le second affiche une séquence de Fibonacci jusqu'au plus grand élément plus petit que le nombre saisi en entrée. Une séquence de Fibonacci est une série de nombres dans laquelle chaque nombre est la somme des deux précédents, commençant généralement par 0 et 1 ; cependant, dans ce défi malveillant, la séquence commence par 1 et 2.

La sortie du programme leurre Quiz2.exe

La figure ci-dessus présente un exemple de sortie du défi de la séquence de Fibonacci. Une fois la sortie affichée, les deux exécutables déclenchent l'action malveillante consistant à installer sur le système de la cible des charges utiles supplémentaires provenant des images ISO. La tâche d'un développeur ciblé consiste à comprendre la logique du programme et à le réécrire dans le langage de programmation C++.

La chaîne d'événements complétant l'accès initial

La première charge utile livrée au système de la cible est un téléchargeur HTTP(S) que nous avons appelé NickelLoader. Cet outil permet aux attaquants de déployer n'importe quel programme dans la mémoire de l'ordinateur de la victime.

Outils post-compromission

Une fois que NickelLoader est exécuté sur le système de la cible, les cybercriminels l'utilisent pour livrer deux types de RAT. L'un de ces chevaux de Troie d'accès à distance est déjà connu pour faire partie de la boîte à outils Lazarus, en particulier une variante de la porte dérobée BlindingCan avec des fonctionnalités limitées mais une logique de traitement des commandes identique.

Pour la distinguer, les chercheurs ont ajouté le préfixe mini- devant le nom de la variante. En outre, les cybercriminels ont introduit un cheval de Troie d'accès à distance non documenté publiquement jusqu'à présent, que les chercheurs ont appelé LightlessCan.

Les chevaux de Troie d'accès à distance sont déployés en tant qu'étape finale de chaînes d'étapes plus ou moins complexes et sont précédés d'exécutables d'aide, tels que des droppers et des loaders. Un exécutable est qualifié de dropper s'il contient une charge utile intégrée, même s'il n'est pas déposé sur le système de fichiers mais chargé directement dans la mémoire et exécuté.

L'aspect le plus inquiétant de l'attaque est le nouveau type de charge utile, LightlessCan, un outil complexe et probablement évolutif qui présente un niveau élevé de sophistication dans sa conception et son fonctionnement, ce qui représente une avancée significative dans les capacités malveillantes par rapport à son prédécesseur, BlindingCan.

Les cybercriminels peuvent désormais limiter considérablement les traces d'exécution de leurs programmes de ligne de commande Windows préférés, qui sont largement utilisés dans leurs activités post-compromission. Cette manœuvre a des implications considérables, car elle a un impact sur l'efficacité des solutions de surveillance en temps réel et des outils de criminalistique numérique post-mortem.

Les techniques utilisées par l'acteur peuvent être atténuées en adoptant les considérations de sécurité ci-dessous :

• utilisez les indicateurs de compromission inclus pour vérifier s'ils existent dans votre environnement et évaluer les risques d'intrusion ;
• bloquer le trafic entrant provenant des adresses IP spécifiées dans le tableau « Indicateurs de compromission » ;
• examiner toutes les activités d'authentification pour l'infrastructure d'accès à distance, en particulier les comptes configurés avec une authentification à facteur unique, afin de confirmer l'authenticité et d'enquêter sur toute activité anormale ;
• activer l'authentification multifactorielle pour réduire les risques de compromission des informations d'identification et s'assurer que l'authentification multifactorielle est appliquée à toutes les connexions à distance ;
• sensibiliser les utilisateurs finaux à la prévention des attaques par des logiciels malveillants, notamment en ignorant ou en supprimant les courriels non sollicités et inattendus contenant des pièces jointes ISO ;
• encouragez les utilisateurs finaux à pratiquer une bonne hygiène d'identification - limitez l'utilisation de comptes avec des privilèges d'administrateur local ou de domaine et activez le pare-feu Microsoft Defender pour prévenir les infections par des logiciels malveillants et étouffer la propagation ;
• sensibiliser les utilisateurs finaux à la protection des informations personnelles et professionnelles dans les médias sociaux, au filtrage des communications non sollicitées, à l'identification des pièges dans les courriels de spear-phishing et les points d'eau, et au signalement des tentatives de reconnaissance et d'autres activités suspectes.

Source : ESET

Et vous ?

Quel est votre avis sur le sujet ?

Quelles sont selon vous, les mesures de sécurité et de prévention que l’entreprise aérospatiale espagnole et d’autres entreprises similaires devraient prendre pour se protéger contre ce type d’attaque ?

Comment les groupes de cybercriminels se procurent-ils et développent-ils ses outils malveillants, tels que LightlessCan ?

Voir aussi :

Le coût des risques liés aux employés explose alors que les défenses ne parviennent pas à suivre le rythme, ce coût a augmenté de 40 % sur une période de 4 ans, d'après un rapport de DTEX Systems

Les demandes d'indemnisation au titre de la cyberassurance pour les ransomwares atteignent un niveau record, d'après un rapport de Coalition

Les cadres supérieurs sont plus enclins à cliquer sur des courriels de phishing, d'après un rapport de SoSafe