Support technique
Documentation
Connexion
Nous contacter
Le groupe Lazarus cible de nouveaux secteurs avec des tactiques évolutives
Le 24 avril 2023 - L'équipe de relations publiques de TuxCare
Selon la société de cybersécurité Kaspersky, le célèbre groupe de menace nord-coréen Lazarus Group a changé de cible et mis à jour ses tactiques dans le cadre d'une campagne baptisée DeathNote. Alors que le groupe est surtout connu pour avoir ciblé le secteur des crypto-monnaies, ses récentes attaques se sont étendues aux secteurs de l'automobile, de l'enseignement et de la défense en Europe de l'Est et ailleurs.
Seongsu Park, un chercheur de Kaspersky, a expliqué qu'"à ce stade, l'acteur a remplacé tous les documents leurres par des descriptions de postes liés à des entreprises de défense et à des services diplomatiques".
Le groupe DeathNote est également connu sous le nom d'Operation Dream Job ou NukeSped et a été repéré par d'autres entreprises, notamment Mandiant, qui appartient à Google. Les attaques de phishing utilisent généralement des leurres sur le thème du bitcoin pour encourager les victimes potentielles à ouvrir des documents contenant des macros, qui introduisent ensuite la porte dérobée Manuscrypt (alias NukeSped) sur la machine compromise.
Kaspersky a également noté que le groupe Lazarus avait déployé une version trojanisée d'un lecteur PDF légitime appelé SumatraPDF Reader pour lancer sa routine malveillante. L'utilisation par le groupe de lecteurs de fichiers PDF malveillants a déjà été révélée par Microsoft.
Kaspersky a déclaré avoir découvert une autre attaque en mars 2022 qui visait des victimes en Corée du Sud en exploitant un logiciel de sécurité pour diffuser un logiciel malveillant téléchargeur capable de distribuer une porte dérobée et de voler des informations. En outre, le groupe a été en mesure de compromettre une entreprise de défense en Amérique latine en utilisant des techniques de chargement latéral de DLL après que la victime a ouvert un fichier PDF trojanisé.
Selon un rapport de Kaspersky, Lazarus a également ciblé les secteurs de l'automobile et de l'enseignement dans ses récentes cyberattaques. Ce rapport indique que ces attaques font partie d'une campagne plus large du groupe contre l'industrie de la défense.
Kaspersky a révélé que le groupe a déployé des implants BLINDINGCAN (alias AIRDRY ou ZetaNile) et COPPERHEDGE pour mener à bien ces attaques. Dans un cas, le groupe a utilisé une version trojanisée d'un lecteur PDF légitime appelé SumatraPDF Reader pour lancer sa routine malveillante. Microsoft avait déjà révélé l'utilisation par le groupe d'applications de lecture de PDF malveillantes.
Les cibles de ces attaques comprenaient un fournisseur de solutions de surveillance des actifs informatiques basé en Lettonie et un groupe de réflexion en Corée du Sud. Le groupe a également abusé de logiciels de sécurité légitimes largement utilisés en Corée du Sud pour exécuter les charges utiles.
Kaspersky a également découvert une autre attaque en mars 2022 qui a ciblé plusieurs victimes en Corée du Sud en exploitant le même logiciel de sécurité pour diffuser un logiciel malveillant de téléchargement capable de distribuer une porte dérobée et un voleur d'informations permettant de recueillir des données de frappe et de presse-papiers.
Les sources de cet article comprennent un article de TheHackerNews.
