dimanche, novembre 24, 2024

Des pirates nord-coréens utilisent Windows Update et GitHub dans une attaque de spear phishing

Malwarebytes a récemment découvert une campagne perpétrée par le groupe avancé de menace persistante (APT) connu sous le nom de Lazarus. La campagne a utilisé des attaques de harponnage qui comprenaient des documents malveillants déguisés en informations sur les opportunités d’emploi chez Lockheed Martin. Dans le cadre de sa méthodologie d’attaque, le groupe Lazarus utilise Windows Update et GitHub pour contourner les logiciels de sécurité.

Malwarebytes décompose soigneusement l’attaque en termes techniques. Une partie de la campagne utilise Windows Update pour contourner les mécanismes de détection de sécurité. Malwarebytes note qu’il s’agit d’une utilisation « intelligente » de Windows Update.

« Il s’agit d’une technique intéressante utilisée par Lazarus pour exécuter sa DLL malveillante à l’aide du client Windows Update afin de contourner les mécanismes de détection de sécurité », a déclaré Malwarebytes. « Avec cette méthode, l’auteur de la menace peut exécuter son code malveillant via le client Microsoft Windows Update… »

Le groupe Lazarus a également utilisé GitHub dans son attaque. L’utilisation de GitHub rend difficile pour les produits de sécurité de faire la différence entre le contenu malveillant et le contenu légitime. C’est la première fois que Malwarebytes observe le groupe utiliser GitHub de cette manière.

« Nous voyons rarement des logiciels malveillants utiliser GitHub en tant que C2 et c’est la première fois que nous observons Lazarus en tirer parti », a expliqué Malwarebytes. « L’utilisation de GitHub en tant que C2 a ses propres inconvénients, mais c’est un choix intelligent pour les attaques ciblées et à court terme, car il est plus difficile pour les produits de sécurité de différencier les connexions légitimes des connexions malveillantes. »

Le groupe Lazarus utilisait auparavant des tactiques de harponnage pour obtenir des recherches sur le COVID-19. Lazarus était également lié à l’attaque bien connue contre Sony et à l’attaque du rançongiciel WannaCry.

Lazarus aurait également été impliqué dans le vol de 400 millions de dollars de crypto-monnaie en 2021.

Source-136

- Advertisement -

Latest