Le groupe nord-coréen Lazarus utilise des logiciels malveillants avancés dans ses escroqueries à l’emploi
Summary:
Le groupe nord-coréen Lazarus déploie un logiciel malveillant plus avancé, baptisé LightlessCan, dans ses fausses escroqueries au travail, ce qui rend la détection beaucoup plus difficile. Repérée pour la première fois lors d’une attaque contre une entreprise aérospatiale espagnole, la charge utile améliorée possède des fonctionnalités innovantes qui améliorent sa furtivité et la protègent contre le décryptage involontaire par les analystes de sécurité. Les pirates informatiques appâtent généralement les victimes avec de fausses offres d’emploi lucratives et les incitent à télécharger une charge utile malveillante. Depuis 2016, les pirates nord-coréens auraient volé environ 3,5 milliards de dollars de projets de crypto-monnaie.
La cohorte de pirates informatiques nord-coréens, Lazarus Group, a utilisé des logiciels malveillants avancés dans leurs soi-disant ruses d’escroquerie à l’emploi, posant un plus grand défi pour la détection que son itération précédente. Le 29 septembre, Peter Kálnai, enquêteur principal sur les logiciels malveillants chez ESET, a détaillé son analyse d’une récente escroquerie de faux recrutement ciblant une entreprise aérospatiale espagnole, où une porte dérobée précédemment non enregistrée nommée LightlessCan a été identifiée.
L’OM pour la fraude au recrutement du groupe Lazarus implique généralement d’appâter les victimes avec une opportunité d’emploi potentiellement lucrative dans une entreprise réputée. Les candidats sans méfiance sont ensuite amenés à télécharger une charge utile nuisible déguisée en documents, qui fait ensuite des ravages sur leurs systèmes. Cependant, Kálnai a souligné que la nouvelle charge utile LightlessCan représente une « mise à niveau majeure » de son homologue plus ancien, BlindingCan.
LightlessCan imite diverses commandes Windows natives, facilitant l’exécution furtive à l’intérieur du RAT, par opposition aux exécutions de console visibles. « Cette méthode offre un avantage considérable en termes d’évasivité, en aidant à éviter les solutions de surveillance en temps réel comme les EDR et à contrecarrer les outils de criminalistique numérique post-incident », a-t-il commenté.
La charge utile mise à jour intègre également ce que Kálnai appelle des « garde-fous d’exécution », garantissant que la charge utile ne peut être décodée que sur le système de la victime visée, contournant ainsi le décryptage involontaire par les analystes de sécurité. Le nouveau malware a été repéré pour la première fois lors d’une attaque contre une entreprise aérospatiale espagnole, où un employé a reçu un message d’un recruteur fictif de Meta, Steve Dawson, en 2022. Les pirates ont rapidement envoyé une paire de défis de codage simples liés au malware.
Le cyberespionnage a été la principale motivation de l’assaut du groupe Lazarus contre la société espagnole, a ajouté Kálnai. Les rapports estiment que les pirates nord-coréens ont volé environ 3,5 milliards de dollars de projets de crypto-monnaie depuis 2016, comme l’a rapporté la société de criminalistique blockchain Chainalysis le 14 septembre. L’année précédente, la société de cybersécurité SentinelOne a signalé une escroquerie à l’emploi sur LinkedIn, où les victimes se sont vu offrir des emplois chez Crypto.com, dans le cadre d’une opération appelée « Dream Job ».
Pendant ce temps, les Nations Unies déploient des efforts concertés pour freiner les activités cybercriminelles de la Corée du Nord sur la scène mondiale, étant entendu que la Corée du Nord détourne les fonds illicites pour soutenir son initiative de missiles nucléaires.
Published At
10/2/2023 3:04:57 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.