Il semble que les développeurs et les artistes de la blockchain ne soient pas les seuls cibles du groupe Lazarus avec de fausses offres d’emploi.
Des experts en aérospatiale et des journalistes politiques en Europe ont également été récemment la cible de la même forme d’attaques d’ingénierie sociale, avec le même objectif – l’espionnage d’entreprise et l’exfiltration de données d’entreprises (s’ouvre dans un nouvel onglet) dispositifs.
Ce qui rend cette campagne unique, cependant, c’est le fait que les cibles étaient infectées par des conducteurs légitimes.
Désactivation des mécanismes de surveillance
Des chercheurs en cybersécurité d’ESET ont récemment vu le groupe Lazarus, un acteur menaçant parrainé par l’État nord-coréen, approcher les personnes susmentionnées avec de fausses offres d’emploi d’Amazon.
Ceux qui ont accepté l’offre et téléchargé de faux fichiers PDF de description de poste ont installé un ancien pilote Dell vulnérable. Cela a ouvert les portes aux acteurs de la menace pour compromettre les terminaux et exfiltrer toutes les données qu’ils recherchaient.
« L’outil le plus remarquable fourni par les attaquants était un module en mode utilisateur qui a acquis la capacité de lire et d’écrire dans la mémoire du noyau en raison de la vulnérabilité CVE-2021-21551 dans un pilote Dell légitime », a déclaré ESET. « Il s’agit du premier abus jamais enregistré de cette vulnérabilité dans la nature. »
Cela a donné à Lazarus la possibilité de désactiver certains des mécanismes de surveillance de Windows, lui permettant de modifier le registre, le système de fichiers, la création de processus, le suivi des événements, etc., a ajouté ESET. Cela « a essentiellement aveuglé les solutions de sécurité d’une manière très générique et robuste ».
CVE-2021-21551 est une vulnérabilité qui englobe cinq failles différentes qui volaient sous le radar pendant 12 ans, avant que Dell ne la corrige finalement, rappelle BleepingComputer. Lazarus l’a utilisé pour déployer sa porte dérobée HTTP(S) « BLINDINGCAN », un cheval de Troie d’accès à distance (RAT) capable d’exécuter diverses commandes, de prendre des captures d’écran des terminaux compromis, de créer et de terminer divers processus, d’exfiltrer des données et des informations système, et Suite.
L’auteur de la menace a également utilisé les vulnérabilités pour déployer FudModule Rootkit, un téléchargeur HTTP(S), ainsi que les applications open source compromises wolfSSL et FingerText.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)