Le nord-coréen Lazarus cible la crypto-monnaie verticale

Le groupe Lazarus, le groupe avancé de menace persistante (APT) aligné sur les intérêts du gouvernement nord-coréen, orchestre une campagne de cyberattaque contre les organisations travaillant dans la monnaie verticale située en Allemagne, au Japon, aux Pays-Bas, à Singapour, au Royaume-Uni et aux États-Unis, selon une nouvelle étude de F-Secure.

Lazarus, qui porte également le nom d’APT38 et était à l’origine du piratage de Sony Pictures en 2014 et de l’incident WannaCry de 2017, a été pointé du doigt par les chercheurs de F-Secure lors d’une enquête sur les interventions en cas d’incident menée par la société finlandaise de sécurité sur une victime. Au cours de ce processus, il a constaté que les implants malveillants utilisés dans l’attaque étaient pratiquement identiques à d’autres outils précédemment utilisés par Lazarus.

« Nos recherches, qui comprenaient des informations tirées de notre intervention en cas d’incident, de notre détection et de notre intervention gérées et des unités de défense tactique, ont révélé que cette attaque présente un certain nombre de similitudes avec l’activité connue du Groupe Lazarus, et nous sommes donc convaincus qu’ils étaient derrière l’incident », a déclaré Matt Lawrence, directeur de la détection et de l’intervention de F-Secure.

« Les preuves suggèrent également que cela s’inscrit dans le cadre d’une campagne en cours ciblant des organisations dans plus d’une douzaine de pays, ce qui rend l’attribution importante. Les entreprises peuvent utiliser le rapport pour se familiariser avec cet incident, les [tactics, techniques and procedures], et le Groupe Lazarus en général, pour aider à se protéger contre les attaques futures.

Dans un rapport récemment publié, F-Secure a exposé les détails de l’attaque, qui semble commencer par une attaque convaincante de spear-phishing menée via LinkedIn sous la forme d’une offre d’emploi faux adapté au profil de sa cible.

Cet e-mail d’hameçonnage était très similaire aux échantillons accessibles au public téléchargés sur VirusTotal, et contenait un document qui était censé être protégé par le Règlement général sur la protection des données (GDPR) et qui devait être activé dans Microsoft Word pour être consulté. L’activation de ce contenu a entraîné l’exécution de code macro incorporé malveillant sur le système de la victime.

Le rapport détaille en détail la chaîne d’infection utilisée dans cette campagne particulière, ainsi que d’autres TTPs utilisés par Lazarus.

Lawrence a averti que Lazarus investissait des efforts considérables pour échapper aux défenses de ses cibles pendant l’attaque, par exemple en désactivant les logiciels antivirus sur les hôtes compromis et en supprimant les preuves d’implants malveillants.

Ce n’est pas la première fois que Lazarus est lié à des attaques contre des opérateurs de crypto-monnaie – qu’il commet probablement avec le programme relativement simple de voler de l’argent pour générer des fonds pour le régime isolé et appauvri de la Corée du Nord.

L’attention du groupe s’est d’abord tournée vers les échanges de crypto-monnaie sud-coréens en 2017, lorsqu’il a volé 7 millions de dollars à la bourse Bithumb. Des recherches ultérieures l’ont lié à d’autres campagnes de spear-phishing contre des cibles sud-coréennes, ainsi qu’à la cryptomination.

F-Secure a déclaré Lazarus est resté une menace continue et les organisations dans la crypto-monnaie verticale devrait être particulièrement vigilant, bien qu’il ait également averti que la campagne peut s’étendre à des éléments de la chaîne d’approvisionnement de la verticale, et une partie de la nouvelle infrastructure de commandement et de contrôle (C2) identifiés au cours de la recherche suggère qu’il peut également être à la recherche de cibler les organisations d’investissement financier.

Heureusement, ajoute le rapport, Lazarus réutilisation d’outils qui fonctionne clairement pour ses objectifs à travers de multiples campagnes, il est donc relativement facile à détecter. Il a suggéré que cela peut signifier que le groupe n’a pas la capacité de se réétérer facilement.