ClickCease Lazarus lance des attaques contre les industries médicales et énergétiques

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

Lazarus lance des attaques contre les industries médicales et énergétiques

par

Le 15 février 2023 - L'équipe de relations publiques de TuxCare

Une cyberattaque du Lazarus Group vise les secteurs de la recherche médicale et de l'énergie, ainsi que leurs partenaires de la chaîne d'approvisionnement, en exploitant les vulnérabilités connues trouvées dans les dispositifs Zimbra non corrigés, selon une étude de WithSecure.

L'attaque, appelée "No Pineapple", laisse un message d'erreur dans une porte dérobée, accompagné du nom "in the event data exceeds segmented byte size". Le rapport suggère que l'objectif est de recueillir des renseignements auprès des organisations victimes. Le groupe exploite les vulnérabilités connues de ces appareils pour compromettre le réseau et escalader les privilèges, ce qui conduit à l'exfiltration de données.

Les victimes comprennent un fabricant de technologies utilisées dans les domaines de l'énergie, de la recherche, de la défense et des soins de santé, un département d'ingénierie chimique d'une université de recherche de premier plan, ainsi que des personnes issues de divers autres secteurs verticaux.

L'attaque est due à une vulnérabilité critique de code à distance répertoriée sous le nom de CVE-2022-41352, qui est classée 9,8 en gravité et a été activement exploitée dans la nature à partir de la mi-septembre 2022. Zimbra a publié une solution de contournement recommandée pour installer l'utilitaire pax et redémarrer les services Zimbra, mais le rapport de WithSecure montre que la faille a bien été exploitée par le groupe Lazarus.

La vulnérabilité se produit parce que les dispositifs utilisent un moteur antivirus qui emploie un utilitaire cpio pour analyser les courriels entrants et l'attaquant est capable de créer une archive pour accéder à tous les fichiers dans les dispositifs Zimbra. Le groupe Lazarus utilise des webshells et des binaires personnalisés facilement disponibles, en plus d'outils Windows et Unix légitimes, pour réaliser l'attaque.

L'attaque a été déployée contre un serveur de messagerie Zimbra en août, où les attaquants ont exploité une vulnérabilité d'escalade de privilèges locaux. Après un mois de reconnaissance et de mouvement latéral, les attaquants ont exfiltré environ 100 Go de données. Le rapport contient une liste de tactiques et de méthodes déployées pendant la campagne observée, afin de faciliter l'identification et la remédiation.

Les sources de cet article comprennent un article de SCMagazine.

Résumé
Lazarus lance des attaques contre les industries médicales et énergétiques
Nom de l'article
Lazarus lance des attaques contre les industries médicales et énergétiques
Description
Une cyberattaque du groupe Lazarus vise les secteurs de la recherche médicale et de l'énergie, ainsi que les partenaires de leur chaîne d'approvisionnement.
Auteur
Nom de l'éditeur
de TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Aidez-nous à comprendre
le paysage Linux !

Répondez à notre enquête sur l'état de l'Open Source et vous pourrez gagner l'un des nombreux prix, dont le premier est d'une valeur de 500 $ !

Votre expertise est nécessaire pour façonner l'avenir d'Enterprise Linux !