Lazarus lance des attaques contre les industries médicales et énergétiques
Une cyberattaque du Lazarus Group vise les secteurs de la recherche médicale et de l'énergie, ainsi que leurs partenaires de la chaîne d'approvisionnement, en exploitant les vulnérabilités connues trouvées dans les dispositifs Zimbra non corrigés, selon une étude de WithSecure.
L'attaque, appelée "No Pineapple", laisse un message d'erreur dans une porte dérobée, accompagné du nom "in the event data exceeds segmented byte size". Le rapport suggère que l'objectif est de recueillir des renseignements auprès des organisations victimes. Le groupe exploite les vulnérabilités connues de ces appareils pour compromettre le réseau et escalader les privilèges, ce qui conduit à l'exfiltration de données.
Les victimes comprennent un fabricant de technologies utilisées dans les domaines de l'énergie, de la recherche, de la défense et des soins de santé, un département d'ingénierie chimique d'une université de recherche de premier plan, ainsi que des personnes issues de divers autres secteurs verticaux.
L'attaque est due à une vulnérabilité critique de code à distance répertoriée sous le nom de CVE-2022-41352, qui est classée 9,8 en gravité et a été activement exploitée dans la nature à partir de la mi-septembre 2022. Zimbra a publié une solution de contournement recommandée pour installer l'utilitaire pax et redémarrer les services Zimbra, mais le rapport de WithSecure montre que la faille a bien été exploitée par le groupe Lazarus.
La vulnérabilité se produit parce que les dispositifs utilisent un moteur antivirus qui emploie un utilitaire cpio pour analyser les courriels entrants et l'attaquant est capable de créer une archive pour accéder à tous les fichiers dans les dispositifs Zimbra. Le groupe Lazarus utilise des webshells et des binaires personnalisés facilement disponibles, en plus d'outils Windows et Unix légitimes, pour réaliser l'attaque.
L'attaque a été déployée contre un serveur de messagerie Zimbra en août, où les attaquants ont exploité une vulnérabilité d'escalade de privilèges locaux. Après un mois de reconnaissance et de mouvement latéral, les attaquants ont exfiltré environ 100 Go de données. Le rapport contient une liste de tactiques et de méthodes déployées pendant la campagne observée, afin de faciliter l'identification et la remédiation.
Les sources de cet article comprennent un article de SCMagazine.