Les chercheurs d’ESET ont découvert, fin 2021, un ensemble de maliciels utilisés par le groupe Lazarus APT. La campagne a commencé par des mails de harponnage contenant des documents malveillants avec Amazon comme thème et ciblant un journaliste politique en Belgique et un employé d’une entreprise aérospatiale aux Pays-Bas. L’objectif des attaquants était le vol de données.
La victime belge a reçu une offre d’emploi dans un document par mail et celle aux Pays-Bas, une dans une pièce jointe via LinkedIn Messaging. Les attaques ont commencé après l’ouverture des documents. Les attaquants ont déployé plusieurs maliciels sur le système, notamment des droppers, des chargeurs, des portes dérobées HTTPS complètes et des télé-chargeurs HTTPS.
L’outil le plus remarquable était un module en mode utilisateur qui pouvait lire et écrire dans la mémoire du noyau grâce à la vulnérabilité CVE-2021-21551 dans un pilote Dell légitime. Cette vulnérabilité affecte les pilotes Dell DBUtil. Une mise à jour sécuritaire a été fournie par Dell en mai 2021. C’est le premier abus de cette vulnérabilité enregistré in-the-wild.
“Les attaquants ont utilisé leur accès d’écriture dans la mémoire du noyau pour désactiver sept mécanismes de l’OS Windows surveillant ses actions, tels que le registre, le système de fichiers, la création de processus, le suivi des événements, etc., aveuglant les solutions de sécurité de manière générique et robuste, ” selon Peter Kálnai, le chercheur d’ESET qui a découvert la campagne. “Cela n’a pas seulement été fait dans le noyau, mais aussi de manière robuste, en utilisant des éléments Windows internes peu ou pas documentés. Cela demande des compétences approfondies en recherche, développement et tests “, a-t-il ajouté.
Lazarus a utilisé BLINDINGCAN, une porte dérobée HTTP(S). ESET pense que ce cheval de Troie d’accès, à distance, a un contrôleur complexe côté serveur avec une interface conviviale permettant de contrôler et d’explorer les systèmes compromis.
Aux Pays-Bas, l’attaque a touché un ordinateur Windows 10 connecté au réseau d’entreprise, où un employé a été contacté via LinkedIn Messaging au sujet d’un emploi potentiel. Il s’agissait d’un mail avec document en pièce jointe. Le fichier Word Amzon_Netherlands.docx, envoyé n’était qu’un document schématique avec un logo Amazon. Les chercheurs n’ont pas obtenu le contenu, mais supposent qu’il s’agissait d’une offre d’emploi pour le Project Kuiper du programme spatial Amazon. Cette méthode a été pratiquée par Lazarus dans les campagnes Operation In(ter)ception et Operation DreamJob ciblant les industries aérospatiales et de défense.
Selon le nombre de codes de commande disponibles pour l’opérateur, il est probable qu’un contrôleur côté serveur soit disponible afin que l’opérateur puisse contrôler et explorer les systèmes compromis. Parmi plus de deux douzaines de commandes disponibles, il y a : charger, télécharger, réécrire et supprimer des fichiers et faire une capture d’écran.
“Dans cette attaque, ainsi que dans des tas d’autres attribuées à Lazarus, nous avons vu que de nombreux outils n’étaient parfois distribués que sur un terminal ciblé dans un réseau intéressant. Pas de doute, l’équipe derrière l’attaque est grande, bien organisée et parfaitement préparée “, a déclaré Kálnai.
ESET Research attribue, avec certitude, ces attaques à Lazarus. La diversité, le nombre et l’excentricité des campagnes Lazarus sont propres à ce groupe qui pratique les trois piliers des activités cybercriminelles : cyber-espionnage, cyber-sabotage et gains financiers. Lazarus (aussi appelé HIDDEN COBRA) est actif depuis au moins 2009. Il est responsable de plusieurs incidents fort médiatisés.
Cette recherche a été présentée à la récente conférence Virus Bulletin. Des informations détaillées sont disponibles dans le livre blanc ” Lazarus & BYOVD : Evil to the Windows core “.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici