BRATISLAVA, PRAGUE, le 30 septembre, 2022 — Les chercheurs d'ESET, 1er éditeur Européen de solutions de sécurité, ont découvert et analysé un ensemble d'outils malveillants qui ont été utilisés par le groupe de cyber-pirates Lazarus lors d'attaques menées fin 2021. La campagne débute par des emails d'hameçonnage contenant des documents malveillants sur le thème d'Amazon, visant un employé d'une entreprise du secteur de l'aérospatiale aux Pays-Bas et un journaliste politique en Belgique. L'objectif principal des attaquants est l'exfiltration de données.
Les deux victimes ont reçu des offres d'emploi : l'employé aux Pays-Bas a reçu une pièce jointe via la messagerie LinkedIn, et le journaliste en Belgique a reçu un document par email. Les attaques étaient déclenchées juste après l'ouverture des documents. Les pirates déployaient plusieurs outils malveillants sur le système des victimes, notamment des téléchargeurs, des portes dérobées HTTP(S) complètes et des downloader HTTP(S).
L'outil le plus notable implanté par les attaquants était un module en mode utilisateur permettant de lire et d'écrire dans la mémoire du noyau grâce à la vulnérabilité CVE-2021-21551 présente dans un pilote Dell légitime. Cette vulnérabilité affecte les pilotes Dell DBUtil. Dell a publié une mise à jour de sécurité en mai 2021. Il s'agit de la première exploitation réelle jamais enregistrée de cette vulnérabilité.
« Les attaquants ont ensuite utilisé leur accès en écriture à la mémoire du noyau pour désactiver sept mécanismes intégrés au système d'exploitation Windows pour surveiller ses actions, tels que la base de registre, le système de fichiers, la création de processus, le suivi des événements, etc., trompant ainsi les solutions de sécurité d'une manière très générique et robuste, » explique Peter Kálnai, le chercheur d'ESET qui a découvert la campagne. « Ce n'est pas seulement réalisé dans l'espace du noyau, mais également de manière robuste, en utilisant une série de fonctions internes de Windows peu ou pas documentés. Il ne fait aucun doute que cela a nécessité des compétences approfondies en matière de recherche, de développement et de tests, » pécise-t-il.
Lazarus a également utilisé une porte dérobée HTTP(S) connue sous le nom de BLINDINGCAN. ESET pense que ce cheval de Troie d'accès à distance possède un contrôleur complexe côté serveur avec une interface facile d'emploi avec laquelle l'opérateur peut explorer et contrôler les systèmes compromis.
Aux Pays-Bas, l'attaque a touché un ordinateur Windows 10 connecté au réseau de l'entreprise, sur lequel un employé a été contacté via la messagerie LinkedIn au sujet d'une offre d'emploi potentiel, à l'aide d'un email contenant un document en pièce jointe. Le fichier Word Amzon_Netherlands.docx envoyé à la victime n'est qu'un simple document de présentation avec un logo Amazon. Les chercheurs d'ESET n'ont pas été en mesure de récupérer le modèle à distance, mais ils supposent qu'il pourrait avoir contenu une offre d'emploi pour le projet Kuiper, qui est un programme spatial d'Amazon. C'est une méthode que Lazarus a pratiquée dans les campagnes Operation In(ter)ception et Operation DreamJob ciblant les secteurs de l'aérospatiale et de la défense.
D'après le nombre de commandes dont dispose l'opérateur, il est probable qu'il existe un contrôleur côté serveur lui permettant d'explorer et de contrôler les systèmes compromis. Les deux douzaines ou plus de commandes disponibles comprennent le téléchargement, le téléversement, la réécriture et la suppression de fichiers, ainsi que la prise de captures d'écran.
« Dans cette attaque, ainsi que dans de nombreuses autres attribuées à Lazarus, nous avons constaté que de nombreux outils étaient diffusés sur un seul endpoint ciblé dans un réseau d'intérêt. Il ne fait aucun doute que l'équipe à l'origine de l'attaque est conséquente, organisée et parfaitement préparée, » déclare M. Kálnai.
ESET Research attribue ces attaques à Lazarus avec quasi-certitude. La diversité, le nombre et l'originalité de la mise en œuvre des campagnes Lazarus définissent ce groupe, ainsi que les trois types d'activités cybercriminelles fondamentales qu'il poursuit, à savoir le cyberespionnage, le cybersabotage et la recherche de gains financiers. Lazarus (également connu sous le nom de HIDDEN COBRA) est actif depuis au moins 2009. Il est responsable de plusieurs incidents importants.
Cette étude est présentée à la Conférence Virus Bulletin de cette année. Des informations détaillées sont disponibles dans le livre blanc « Lazarus & BYOVD: Evil to the Windows core. »
Pour plus d'informations techniques sur la dernière attaque de Lazarus, consultez l'article « Campagnes de Lazarus sur le thème d'Amazon aux Pays-Bas et en Belgique » sur WeLiveSecurity.
Suivez l'actualité d'ESET Research sur Twitter.
Darina SANTAMARIA - +33 01 55 89 08 88 - darina.j@eset-nod32.fr
Ines KHELIFI : +33 01 55 89 29 30 - ines.k@eset-nod32.fr
À propos d'ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établit dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.