Le groupe APT Lazarus réapparaît pour exploiter Windows Update et GitHub

[post-views]
février 03, 2022 · 4 min de lecture
Le groupe APT Lazarus réapparaît pour exploiter Windows Update et GitHub

Un mois après le début de 2022, il n’y a aucun ralentissement prévisible des attaques ; au contraire, le domaine de la cybersécurité est en effervescence. Le paysage est familier : des hackers en embuscade et des praticiens de la sécurité travaillant inlassablement pour assurer qu’il n’y ait aucun répit pour les premiers.

Fin janvier, une nouvelle campagne d’attaque, lancée par un APT lié à la Corée du Nord, a été découverte par l’équipe de Malwarebytes Threat Intelligence. Cette fois, l’acteur parrainé par l’État utilise le service Windows Update pour distribuer des malwares et utilise GitHub comme serveur de commande et de contrôle.

HIDDEN COBRA

Le groupe Lazarus est une organisation de piratage notoire parrainée par le gouvernement nord-coréen. Ce groupe est surveillé depuis au moins 2009 et est soupçonné d’être derrière un certain nombre de campagnes de haut niveau, y compris la cyberguerre, la cyberespionnage, et des attaques de ransomware.

Le programme cybernétique de la Corée du Nord constitue une menace persistante d’espionnage, de vol et d’attaque, en apportant un soutien substantiel à de nombreux groupes cybersécuritaires malveillants. Pour éviter toute confusion dans le vaste champ des activités cybercriminelles parrainées par le gouvernement nord-coréen, il faut préciser que le groupe Lazarus est connu sous de nombreux pseudonymes, dont certains, comme Andariel, Kimsuky, APT37, APT38, concernent des sous-groupes, et un nom générique HIDDEN COBRA utilisé pour désigner l’activité cybernétique malveillante menée par l’État nord-coréen en général.

Les méthodes les plus utilisées par le groupe sont la diffusion de logiciels malveillants, les zero-days, le spear phishing, la désinformation et les portes dérobées.

La chaîne de destruction récente des attaques

Les instances d’attaques les plus récentes de Lazarus ont été signalées le 18 janvier 2022. Cependant, il existe des données suggérant que la campagne était en activité depuis la fin de 2021. Cette fois, le groupe Lazarus vise à exploiter Windows Update et GitHub pour contourner les détections. Pour infecter des PC avec un malware, l’attaque commence par l’implémentation de macros malveillantes intégrées dans le document Word. Plus précisément, les données actuelles suggèrent l’utilisation par les acteurs de la menace de deux documents intégrant des macros, incitant les utilisateurs avec de nouvelles opportunités d’emploi chez Lockheed Martin, une corporation mondiale :

Lockheed_Martin_JobOpportunities.docx

Salary_Lockheed_Martin_job_opportunities_confidential.doc

Lorsque la victime ouvre un fichier armé, le malware exécute une série d’injections afin d’obtenir la persistance au démarrage sur le dispositif cible : une macro intégrée dépose un fichier WindowsUpdateConf.lnk dans le dossier de démarrage et un fichier DLL (wuaueng.dll) dans le dossier Windows/System32.

La DLL malveillante est ensuite exécutée à l’aide du client Windows Update pour éviter la détection. Une autre technique visant à rester sous le radar des systèmes de sécurité est l’adoption de GitHub pour la communication C2.

Détecter la dernière attaque de Lazarus

Pour identifier de possibles attaques et remédier au compromis spear phishing de Lazarus, optez pour le téléchargement d’un lot de règles Sigma gratuites. Le contenu a été publié par nos développeurs de Threat Bounty Nattatorn Chuensangarun and Onur Atali.

Lazarus APT exécute les macros malveillantes via la création de processus

Campagne GitHub de Lazarus APT de Corée du Nord via événement de fichier

Lazarus APT exploite le client Windows Update, GitHub via événement de fichier

La liste complète des détections liées à l’APT Lazarus dans le référentiel Threat Detection Marketplace de la plateforme SOC Prime est disponible ici.

Inscrivez-vous gratuitement à la plateforme Detection as Code de SOC Prime pour détecter les dernières menaces dans votre environnement de sécurité, améliorer les sources de journaux et la couverture MITRE ATT&CK, et globalement renforcer les capacités de cyberdéfense de l’organisation. Envie de créer vos propres règles Sigma ? Rejoignez notre programme Threat Bounty et soyez récompensé pour votre précieuse contribution.

Aller à la plateforme Rejoindre Threat Bounty

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande 3 min de lecture Plateforme SOC Prime Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande by Steven Edwards Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore 5 min de lecture Dernières Menaces Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore by Veronika Telychko Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes 5 min de lecture Dernières Menaces Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes by Veronika Telychko
Toutes les actualités