Selon Malwarebytes Labs, le groupe d’activistes nord-coréen populaire Lazarus utilise le client Windows Update pour déployer du code malveillant, évitant ainsi les mécanismes de sécurité et tirant parti de Github pour servir de serveur de commande et de contrôle pour ses dernières attaques. La semaine dernière, l’équipe Malwarebytes Threat Intelligence a repéré la nouvelle campagne dans deux documents Word utilisés dans une campagne de harponnage concernant de fausses opportunités d’emploi chez Lockheed Martin.
L’objectif de Lazarus est d’infiltrer des entités gouvernementales haut de gamme spécialisées dans la défense et l’aérospatiale et de voler autant de données de renseignement que possible.
Les deux documents sont connus sous le nom de Lockheed_Martin_JobOpportunities.docx, et Salary_Lockheed_Martin_job_opportunities_confidential.doc. Comme leurs noms l’indiquent, ces deux documents semblent attirer les cibles vers de nouvelles opportunités d’emploi chez Lockheed Martin.
Une série de macro-commandes malveillantes sont intégrées dans les documents Word et commencent à s’infiltrer dans le système une fois activés, en incorporant immédiatement du code dans le système de démarrage de l’ordinateur pour s’assurer qu’un redémarrage n’arrête pas le virus.
Fait intéressant, une partie du processus d’injection utilise le client Windows Update pour installer une DLL malveillante. C’est très astucieux puisque cette technique échappe aux systèmes de détection de sécurité.
La méthode d’attaque est nouvelle, mais la stratégie de phishing ne l’est pas. C’est la même stratégie que Lazarus utilise depuis plus d’un an, connue sous le nom d’opération « Dream Job ». Cette méthode d’attaque incite les employés du gouvernement à croire qu’ils pourraient être qualifiés pour un travail très convoité, pour se rendre compte que tout cela n’était qu’une façade utilisée pour voler des données sensibles sur leurs postes de travail.
Malwarebytes, ESET et MacAfee surveillent tous attentivement Lazarus pour son prochain mouvement. La campagne précédente de l’attaquant a été un grand succès, car elle a infiltré des dizaines d’entreprises et d’organisations à l’échelle mondiale, y compris Israël.