APT nord-coréen Lazare est à la hauteur de ses vieilles astuces avec une campagne de cyberespionnage ciblant les ingénieurs avec une fausse offre d'emploi qui tente de propager des logiciels malveillants macOS. L'exécutable Mac malveillant utilisé dans la campagne cible à la fois les systèmes à base de puces Apple et Intel.

La campagne, identifiée par des chercheurs de Laboratoires de recherche ESET et révélé dans un série de tweets posté mardi, se fait passer pour commerçant de crypto-monnaie Coinbase dans une description de poste prétendant rechercher un responsable de l'ingénierie pour la sécurité des produits, les chercheurs ont divulgué.

Surnommée Operation In(ter)ception, la récente campagne laisse tomber un exécutable Mac signé déguisé en description de poste pour Coinbase, que les chercheurs ont découvert téléchargé sur VirusTotal depuis le Brésil, ont-ils écrit."Les logiciels malveillants sont compilés à la fois pour Intel et Apple Silicon", selon l'un des tweets. "Il dépose trois fichiers : un document PDF leurre Coinbase_online_careers_2022_07.pdf, un ensemble http[://]FinderFontsUpdater[.]app et un téléchargeur safarifontagent."

Similitudes avec les logiciels malveillants précédents

Le logiciel malveillant est semblable à un échantillon découvert par ESET en mai, qui comprenait également un exécutable signé déguisé en description de poste, a été compilé pour Apple et Intel, et a laissé tomber un leurre PDF, ont déclaré les chercheurs.

Cependant, le malware le plus récent est signé le 21 juillet, selon son horodatage, ce qui signifie qu'il s'agit soit de quelque chose de nouveau, soit d'une variante du malware précédent. Il utilise un certificat délivré en février 2022 à un développeur nommé Shankey Nohria et qui a été révoqué par Apple le 12 août, ont indiqué des chercheurs. L'application elle-même n'a pas été notariée.

L'opération In(ter)ception a également une version Windows complémentaire du logiciel malveillant laissant tomber le même leurre et repérée le 4 août par Malwarebytes chercheur en renseignement sur les menaces Jazi, selon ESET.

Le logiciel malveillant utilisé dans la campagne se connecte également à une infrastructure de commande et de contrôle (C2) différente de celle du logiciel malveillant découvert en mai, https:[//]concrecapital[.]com/%user%[.]jpg, qui n'a pas répondu lorsque les chercheurs ont essayé de s'y connecter.

Lazare en liberté

Lazarus de Corée du Nord est bien connu comme l'un des APT les plus prolifiques et est déjà dans le collimateur des autorités internationales, après avoir été sanctionné en 2019 par le gouvernement américain.

Lazarus est connu pour cibler les universitaires, les journalistes et les professionnels de divers secteurs, en particulier le industrie de la défense– pour recueillir des renseignements et un soutien financier pour le régime de Kim Jong-un. Il a souvent utilisé des stratagèmes d'usurpation d'identité similaires à celui observé dans l'opération In(ter)ception pour tenter d'amener les victimes à prendre l'appât du logiciel malveillant.

Une précédente campagne identifiée en janvier a également ingénieurs en recherche d'emploi ciblés en leur faisant miroiter de fausses opportunités d'emploi dans le cadre d'une campagne de harponnage. Les attaques ont utilisé Windows Update comme technique de vie hors du terrain et GitHub comme serveur C2.

Pendant ce temps, un campagne similaire découverte l'année dernière a vu Lazarus se faire passer pour les sous-traitants de la défense Boeing et General Motors et prétendre rechercher des candidats à un emploi uniquement pour diffuser des documents malveillants.

Le changer

Cependant, plus récemment, Lazarus a diversifié ses tactiques, les autorités fédérales révélant que Lazarus était également responsable d'un certain nombre de cambriolages visant à remplir le régime de Jong-un avec de l'argent.

En lien avec cette activité, le gouvernement américain infligé des sanctions contre le service de mixage de crypto-monnaie Tornado Cash pour avoir aidé Lazarus à blanchir l'argent de ses activités cybercriminelles, qui, selon eux, servent en partie à financer le programme de missiles de la Corée du Nord.

Lazarus a même plongé ses orteils dans les rançongiciels au milieu de sa frénésie d'activités de cyberextorsion. En mai, les chercheurs de la firme de cybersécurité Trellix lié le rançongiciel VHD récemment apparu à l'APT nord-coréen.