Des fournisseurs d’énergie du monde entier, notamment des États-Unis, du Canada et du Japon, auraient été ciblés par le groupe de hackers nord-coréen Lazarus, également connu sous le nom d’APT38.
Selon le groupe Talos Intelligence de Cisco (s’ouvre dans un nouvel onglet)la campagne vise à infiltrer des organisations du monde entier dans le but d’établir un accès à long terme et d’exfiltrer par la suite des données d’intérêt pour l’État-nation.
Bien que les cibles précises soient restées sans nom, les attaques montrent une fois de plus la menace que la Corée du Nord et Lazare peuvent représenter via les efforts de déstabilisation.
Comment l’attaque a-t-elle fonctionné ?
Selon Talos, cette campagne impliquait l’exploitation des vulnérabilités du produit de bureau virtuel VMWare Horizon pour s’implanter dans des organisations ciblées.
Après avoir réussi à pénétrer les réseaux d’entreprise ciblés, le groupe a ensuite déployé des implants de logiciels malveillants personnalisés, notamment les robots HTML VSingle et YamaBot.
En plus de ces familles de logiciels malveillants connus, ils ont également affirmé avoir découvert l’utilisation d’un implant de logiciels malveillants jusque-là inconnu appelé « MagicRAT ».
L’entrée initiale dans les organisations aurait été effectuée à l’aide de Log4Shell (CVE-2021-44228), une vulnérabilité zero-day dans Log4j, un framework de journalisation Java populaire, qui implique l’exécution de code arbitraire.
La société de cybersécurité Tenable a précédemment surnommé Log4Shell « la vulnérabilité la plus importante et la plus critique de tous les temps ».
Ce ne serait pas la première fois que la Corée du Nord est impliquée dans des attaques contre des puissances étrangères ; Les chercheurs en sécurité de Kaspersky Lab ont lié la Corée du Nord à l’attaque du rançongiciel Wannacry qui a désactivé 300 000 ordinateurs dans 150 pays et causé des problèmes sans précédent au NHS britannique.
Depuis sa création en 2010, le groupe Lazarus n’a pas cessé de s’occuper. Dernièrement, il a tourné son attention vers le monde des blockchains et DeFi.
Lazarus était lié à une attaque contre la chaîne latérale Ronin d’une valeur de 615 millions de dollars, qui alimente le populaire jeu intégré à la blockchain Axie Infinity, qui est connu comme l’un des plus grands hacks DefI à ce jour.
- Vous craignez que des pirates s’infiltrent dans votre organisation ? Consultez notre guide de la meilleure protection des terminaux.