Logo Zéphyrnet

Des pirates nord-coréens abusent du client Windows Update dans des attaques contre l'industrie de la défense

Date :

Le groupe de menaces nord-coréen Lazarus a été observé en train d'abuser du client Windows Update pour l'exécution de code malveillant lors d'une campagne ce mois-ci, rapporte Malwarebytes.

Actif depuis au moins 2009, Lazarus est le groupe de piratage parrainé par l'État nord-coréen le plus actif, avec de nombreuses factions opérant sous son égide. Considéré comme ayant orchestré diverses cyberattaques de grande envergure, le groupe a volé pour 400 millions de dollars de crypto-actifs l'année dernière.

Deux différents documents leurres compatibles macro se faisant passer pour des opportunités d'emploi chez le géant américain de la sécurité mondiale et de l'aérospatiale Lockheed Martin ont été utilisés dans le Campagne Lazare de janvier 2022, tous deux portant des horodatages de compilation d'avril 2020.

Dans le cadre de la première des attaques observées, des macros malveillantes intégrées dans le document Word sont exécutées pour effectuer diverses injections et assurer la persistance. De plus, le code détourne le flux de contrôle pour exécuter du code en mémoire.

L'auteur de la menace a utilisé un processus d'exécution de code sophistiqué qui implique la modification de diverses fonctions pour assurer une injection DLL réussie dans le processus explorer.exe.

[LIS: Des pirates informatiques nord-coréens ciblent la chaîne d'approvisionnement informatique : Kaspersky]

De plus, la chaîne d'exécution implique également de transmettre certains paramètres au client Windows Update afin d'en abuser pour l'exécution de code, ce qui entraîne le contournement des mécanismes de détection de sécurité.

Les chercheurs en sécurité de Malwarebytes ont également découvert que l'une des DLL utilisées dans l'attaque était signée avec un certificat délivré à "SAMOYAJ LIMITED". Le fichier était intégré à une DLL contenant le module de code du logiciel malveillant responsable de la communication de commande et de contrôle (C&C).

De plus, le logiciel malveillant utilise GitHub comme C&C, et Malwarebytes affirme que c'est la première fois que Lazarus utilise la plate-forme d'hébergement de code de cette manière.

"L'utilisation de Github en tant que C&C a ses propres inconvénients, mais c'est un choix judicieux pour les attaques ciblées et à court terme, car il est plus difficile pour les produits de sécurité de différencier les connexions légitimes des connexions malveillantes. Lors de l'analyse du module principal, nous avons pu obtenir les détails requis pour accéder au C&C, mais malheureusement, il était déjà nettoyé et nous n'avons pas pu obtenir grand-chose, sauf un des modules supplémentaires », expliquent les chercheurs en sécurité.

[LIS: Le groupe Lazarus cible la Corée du Sud via une attaque de la chaîne d'approvisionnement]

Le compte GitHUb utilisé pour faire fonctionner le logiciel malveillant a été créé le 17 janvier, avec le nom d'utilisateur "DanielManwarningRep".

Un deuxième document de la campagne a été observé laissant tomber un logiciel malveillant totalement différent dans le cadre d'une chaîne d'infection qui impliquait également le détournement du flux de contrôle, ainsi qu'une technique d'injection similaire utilisée par le shellcode. Ce document, cependant, abuse de mshta.exe dans le processus.

L'utilisation d'opportunités d'emploi comme leurres pour le phishing et le ciblage d'entités de l'industrie de la défense sont conformes aux précédentes attaques Lazarus, tandis que les métadonnées des deux documents de cette campagne les relient à d'autres documents Lazarus.

"Utiliser les opportunités d'emploi comme modèle est la méthode connue utilisée par Lazarus pour cibler ses victimes. Les documents créés par cet acteur sont bien conçus et contiennent une grande icône pour une entreprise connue telle que LockHeed Martin, BAE Systems, Boeing et Northrop Grumman dans le modèle », explique Malwarebytes.

Connexe: Experts de l'ONU : la Corée du Nord utilise des cyberattaques pour mettre à jour ses armes nucléaires

Connexe: Les États-Unis accusent des pirates nord-coréens de plus de 1.3 milliard de dollars de braquages ​​de banque

Connexe: Les États-Unis accusent la Corée du Nord d'avoir piraté le groupe Lazarus

voir le compteur

Ionut Arghire est un correspondant international pour SecurityWeek.

Chroniques précédentes d'Ionut Arghire:
Mots clés:

spot_img

Dernières informations

spot_img