Le tristement célèbre acteur menaçant nord-coréen Lazarus Group a été observé en train de se livrer à une attaque de malware ciblée très sophistiquée qui implique de compromettre des logiciels open source populaires et de mener des campagnes de spear phishing.
En conséquence, il a réussi à compromettre de « nombreuses » organisations dans les secteurs des médias, de la défense et de l’aérospatiale, ainsi que des services informatiques, selon un rapport (s’ouvre dans un nouvel onglet) de Microsoft a conclu.
La société affirme que Lazarus (ou ZINC, comme il surnomme le groupe) a compromis PuTTY, parmi d’autres applications open source, avec un code malveillant qui installe des logiciels espions. PuTTY est un émulateur de terminal gratuit et open-source, une console série et une application de transfert de fichiers réseau.
Installation de Zeta Nile
Mais le simple fait de compromettre un logiciel open source ne garantit pas l’accès aux terminaux de l’organisation cible – les gens doivent toujours télécharger et exécuter le logiciel. C’est là qu’intervient le harponnage. En se lançant dans une attaque d’ingénierie sociale très ciblée sur LinkedIn, les acteurs de la menace obligent certaines personnes travaillant dans des entreprises cibles à télécharger et à exécuter l’application. Apparemment, les membres du groupe assument l’identité des recruteurs sur LinkedIn, offrant aux gens des opportunités d’emploi lucratives.
L’application a été spécialement conçue pour éviter d’être détectée. Ce n’est que lorsque l’application se connecte à une adresse IP spécifique et se connecte à l’aide d’un ensemble spécial d’identifiants de connexion que l’application lance le logiciel malveillant d’espionnage ZetaNile.
Outre PuTTY, Lazarus a réussi à compromettre KiTTY, TightVNC, Sumatra PDF Reader et muPDF/Subliminal Recording.
« Les acteurs ont réussi à compromettre de nombreuses organisations depuis juin 2022 », ont écrit des membres des équipes Microsoft Security Threat Intelligence et LinkedIn Threat Prevention and Defense dans un article. « En raison de la large utilisation des plates-formes et des logiciels que ZINC utilise dans cette campagne, ZINC pourrait constituer une menace importante pour les individus et les organisations dans plusieurs secteurs et régions. »
Lazarus n’est pas étranger aux fausses offres d’emploi. Après tout, le groupe a fait de même pour les développeurs et les artistes de la cryptographie, se faisant passer pour des recruteurs pour Crypto.com ou Coinbase.