Pourquoi c’est important : l’équipe Threat Intelligence de Malwarebytes a émis un nouvel avertissement aux utilisateurs concernant une menace récemment identifiée par le groupe de piratage nord-coréen Lazarus. L’attaque utilise de faux documents avec des macros intégrées conçues pour ressembler aux informations sur l’emploi de Lockheed Martin. Une fois la macro exécutée, l’exploit utilise Windows Update et GitHub pour fournir des charges utiles et infecter les utilisateurs sans méfiance.
L’organisation parrainée par l’État, déjà suspectée lors d’attaques passées telles que WannaCry et de nombreuses attaques contre des médias américains, a été découverte en utilisant Windows Update pour fournir des charges utiles malveillantes tout en utilisant GitHub comme serveur principal de commande et de contrôle (C2). Les attaques faisaient vaguement suite à la précédente campagne d’emplois de rêve du groupe, qui ciblait des organisations ainsi que des individus spécifiques dans les secteurs de la défense, de l’aérospatiale et des contrats gouvernementaux civils.
L’attaque de harponnage a utilisé deux documents MS Word leurres avec des macros intégrées (Lockheed_Martin_JobOpportunities.docx et Salary_Lockheed_Martin_job_opportunities_confidential.doc) qui ont été conçues pour apparaître comme des informations valides sur les offres d’emploi de Lockheed Martin.. Une fois que les macros malveillantes sont exécutées par un utilisateur peu méfiant, le package de logiciels malveillants effectue une série d’injections sur le système cible pour assurer la persistance entre les démarrages de la machine cible.
Cela pourrait être lié à #Lazare #APTE
– Contient une macro (Frame1_Layout)
– Dépose un fichier lnk dans le répertoire de démarrage (WindowsUpdateConf.lnk)– Crée un répertoire Windows/System32 caché et supprime wuaueng.dll (Bien que la dll semble bénigne)
– Le lnk utilise wuauclt.exe pour l’exécution pic.twitter.com/KmOz9m5gEr— Jazi (@h2jazi) 18 janvier 2022
Une description complète du processus d’attaque, ainsi qu’une discussion approfondie des composants individuels constituant l’attaque, sont disponibles sur le blog de l’équipe Malwarebytes Lab Threat Intelligence. Les chercheurs et ingénieurs en sécurité de Malwarebytes ont attribué l’attaque à Lazarus en se basant sur des similitudes avec les attaques passées de l’organisation nord-coréenne, telles que :
- Documents d’opportunités d’emploi frauduleux bien conçus, marqués d’icônes pour les sous-traitants de la défense tels que Lockheed Martin, Northrop Grumman et Boeing
- Ciblage spécifique des demandeurs d’emploi dans les secteurs de la défense et de l’aérospatial
- Similitudes dans les métadonnées qui relient la récente campagne de spear phishing à des campagnes antérieures similaires
Un avis sur les cybermenaces d’avril 2020 a été publié par l’Agence de cybersécurité et de sécurité des infrastructures (CISA) du DHS pour fournir des orientations officielles concernant la cyberactivité de la Corée du Nord. Le programme Rewards for Justice (RFJ) du Département d’État fournit également des conseils sur les types d’informations et d’activités à signaler. Les pourboires éligibles qui perturbent toute action contre le gouvernement américain sont éligibles pour des récompenses allant jusqu’à 5 millions de dollars.