Le groupe Lazarus frappe les industries de la défense avec le logiciel malveillant «ThreatNeedle»

  • FrançaisFrançais


  • Des experts en sécurité ont découvert le groupe APT (Advanced Persistant Thread) soutenu par la Corée du Nord Lazare cible l’industrie de la défense dans plusieurs pays depuis 2020. Selon les chercheurs de Kaspersky, les attaquants utilisent une charge utile de malware baptisée “ThreatNeedle” pour pénétrer les systèmes de réseau d’entreprise. Le logiciel malveillant peut accéder et voler des données critiques à partir de parties segmentées d’un réseau qui n’est pas connecté à Internet.

    «Nous avons déjà vu Lazarus attaquer diverses industries à l’aide de ce cluster de logiciels malveillants. À la mi-2020, nous avons réalisé que Lazarus lançait des attaques contre l’industrie de la défense à l’aide du cluster ThreatNeedle, un cluster de logiciels malveillants avancés de Manuscript (alias NukeSped). Tout en enquêtant sur cette activité », a déclaré Kaspersky.

    Comment ThreatNeedle affecte

    Kaspersky a affirmé que la campagne de malware ThreatNeedle en cours s’appuie sur une approche en plusieurs étapes qui commence par une attaque de spear-phishing pour finalement prendre le contrôle de l’appareil de la victime.

    Avant de lancer une attaque, les attaquants recherchent l’organisation ciblée pour identifier et créer des adresses e-mail similaires appartenant à différents services de l’entreprise. Les e-mails de phishing, avec un lien malveillant ou une pièce jointe infectée d’un document Microsoft Word, sont envoyés à plusieurs employés dans différents services. Lors de l’ouverture du document malveillant, le malware est abandonné et procède à une procédure de déploiement en plusieurs étapes pour compromettre l’appareil de la victime.

    Traits de menace

    Une fois que la charge utile finale du malware ThreatNeedle est déployée sur le système de la victime, elle permet à un attaquant distant d’exécuter plusieurs fonctions, notamment:

    • Manipuler des fichiers / répertoires
    • Profilage du système
    • Contrôlez les processus de porte dérobée
    • Entrer en mode veille ou veille prolongée
    • Mettre à jour la configuration de la porte dérobée
    • Exécuter les commandes reçues

    «Notre enquête a montré que la tentative initiale de spear-phishing a échoué en raison de la désactivation des macros dans l’installation de Microsoft Office des systèmes ciblés. Pour persuader la cible d’autoriser la macro malveillante, l’attaquant a envoyé un autre e-mail montrant comment activer les macros dans Microsoft Office. Le document contient des informations sur le programme d’évaluation de la santé de la population et n’est pas directement lié au sujet de l’e-mail de phishing (COVID-19), ce qui suggère que les attaquants peuvent ne pas comprendre complètement la signification du contenu qu’ils ont utilisé », a ajouté Kaspersky.

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *