Le collectif de hackers nord-coréen Lazarus Group utilise un nouveau type de malware « sophistiqué » dans le cadre de ses fausses escroqueries à l’emploi – qui, selon les chercheurs, est beaucoup plus difficile à détecter que son prédécesseur.
Selon Selon un article du 29 septembre rédigé par Peter Kálnai, chercheur principal en logiciels malveillants chez ESET, alors qu’ils analysaient une récente fausse attaque contre une entreprise aérospatiale basée en Espagne, les chercheurs d’ESET ont découvert une porte dérobée non documentée publiquement nommée LightlessCan.
#ESET des chercheurs ont dévoilé leurs conclusions sur une attaque menée par l’organisation liée à la Corée du Nord. #APTE groupe #Lazare qui visait une entreprise aérospatiale en Espagne.
▶️ Apprenez-en davantage dans un #SemaineSécurité vidéo avec @TonyAtESET. pic.twitter.com/M94J200VQx
-ESET (@ESET) 29 septembre 2023
Les fausses escroqueries au travail du groupe Lazarus consistent généralement à tromper les victimes en leur proposant une offre potentielle d’emploi dans une entreprise bien connue. Les attaquants inciteraient les victimes à télécharger une charge utile malveillante déguisée en documents pour causer toutes sortes de dégâts.
Cependant, Kálnai affirme que la nouvelle charge utile LightlessCan constitue une « avancée significative » par rapport à son prédécesseur BlindingCan.
« LightlessCan imite les fonctionnalités d’un large éventail de commandes Windows natives, permettant une exécution discrète au sein du RAT lui-même au lieu d’exécutions bruyantes sur la console. »
« Cette approche offre un avantage significatif en termes de furtivité, à la fois pour échapper aux solutions de surveillance en temps réel comme les EDR et aux outils d’investigation numérique post-mortem », a-t-il déclaré.
️♂️ Méfiez-vous des faux recruteurs LinkedIn ! Découvrez comment le groupe Lazarus a exploité une entreprise aérospatiale espagnole via un défi de codage trojanisé. Découvrez les détails de leur campagne de cyberespionnage dans notre dernier #NousLiveSécurité article. #ESET #ProgressProtected
-ESET (@ESET) 29 septembre 2023
La nouvelle charge utile utilise également ce que le chercheur appelle des « garde-fous d’exécution » : garantissant que la charge utile ne peut être déchiffrée que sur la machine de la victime prévue, évitant ainsi un décryptage involontaire par les chercheurs en sécurité.
Kálnai a déclaré qu’un cas impliquant le nouveau malware provenait d’une attaque contre une entreprise aérospatiale espagnole lorsqu’un employé avait reçu un message d’un faux recruteur Meta nommé Steve Dawson en 2022.
Peu de temps après, les pirates ont envoyé les deux simples défis de codage intégrés au malware.
Le cyberespionnage est la principale motivation derrière l’attaque du groupe Lazarus contre l’entreprise aérospatiale basée en Espagne, a-t-il ajouté.
En rapport: 3 mesures que les investisseurs en crypto peuvent prendre pour éviter les piratages du groupe Lazarus
Depuis 2016, les pirates nord-coréens ont volé environ 3,5 milliards de dollars dans des projets de crypto-monnaie, selon un rapport du 14 septembre de la société d’investigation blockchain Chainalysis.
En septembre 2022, la société de cybersécurité SentinelOne a mis en garde contre une fausse arnaque à l’emploi sur LinkedIn, proposant aux victimes potentielles un emploi chez Crypto.com dans le cadre d’une campagne baptisée « Opération Dream Job ».
Pendant ce temps, les Nations Unies s’efforcent de freiner les tactiques de cybercriminalité de la Corée du Nord au niveau international – comme c’est le cas aujourd’hui. compris La Corée du Nord utilise les fonds volés pour soutenir son programme de missiles nucléaires.
Revue: 3,4 milliards de dollars de Bitcoin dans une boîte de pop-corn : l’histoire du hacker de la Route de la Soie