Le Groupe Lazarus Attaque les Industries de la Manufacture et de l’Électricité en Europe

[post-views]
décembre 21, 2020 · 4 min de lecture
Le Groupe Lazarus Attaque les Industries de la Manufacture et de l’Électricité en Europe

Le tristement célèbre groupe APT Lazarus (alias HiddenCobra, APT37) a de nouveau été repéré en train d’agiter le monde de la cyber. Cette fois, les analystes en sécurité ont révélé une campagne de cyber-espionnage très ciblée visant les grandes entreprises du secteur de la fabrication et de l’électricité à travers l’Europe. 

Ensemble d’outils et scénario d’attaque de Lazarus

Le vecteur d’attaque initial utilisé par les pirates de Lazarus était similaire à celui utilisé dans Opération North Star visant les sous-traitants de la défense et de l’aérospatiale. En particulier, les cybercriminels ont développé des tactiques sophistiquées d’ingénierie sociale sur LinkedIn pour attirer les victimes. Les attaquants se sont fait passer pour des responsables des ressources humaines légitimes de grandes entreprises internationales afin de gagner la confiance et inciter les employés à ouvrir des pièces jointes d’hameçonnage ciblé sur les appareils de l’entreprise. En cas d’exécution, des documents Word malveillants ou des fichiers ISO lâchaient un ensemble de logiciels malveillants sur les réseaux ciblés pour donner aux pirates la capacité de se déplacer latéralement et de faire de la reconnaissance interne. Dans la plupart des cas, les acteurs de la menace utilisaient une version personnalisée de Mimikatz pour extraire les identifiants, ainsi que des exploits connus (par exemple, EternalBlue) pour obtenir une persistance et élever leurs privilèges. Ensuite, les attaquants déployaient le RAT BLINDINGCAN/DRATzarus pour rechercher des données sensibles. Les pirates de Lazarus exfiltraient des informations sensibles via une infrastructure complexe de C&C basée sur des sites web compromis, ce qui permettait aux membres de l’APT d’éviter la détection. Notamment, la plupart des sites web étaient abusés via des exploits publics. Comme le concluent les chercheurs en sécurité concluent, la campagne était assez longue (février-novembre 2020) et particulièrement axée sur le cyber-espionnage car aucun dommage direct n’a été causé aux réseaux compromis. 

Contenu de détection pour l’attaque de Lazarus

Emir Erdogan a développé une règle Sigma exclusive pour la détection de la dernière campagne APT Lazarus, qui est déjà disponible sur le Threat Detection Marketplace: 

https://tdm.socprime.com/tdm/info/sYDpoPswwaR8/7TLbcHYBmo5uvpkjTltt/

La règle a des traductions pour les plateformes suivantes :

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tactiques : Persistance

Technique : Clés de registre de démarrage/carte des programmes de démarrage  (T1060)

 

Vue d’ensemble du groupe Lazarus

Le groupe nord-coréen Lazarus est connu comme l’un des acteurs les plus prolifiques, tant en termes de campagnes à motivation financière qu’en termes d’attaques politiquement orientées en faveur du gouvernement de Kim Jong-un. Le groupe est actif depuis 2009, étant derrière des incidents majeurs de cybersécurité tels que la brèche de sécurité de Sony Pictures en 2014, le braquage de la banque centrale du Bangladesh en 2016 et l’attaque WannaCry en 2017. L’année 2020 a également été fructueuse pour Lazarus. Les pirates ont été impliqués dans une campagne lucrative contre les échanges de crypto-monnaies, des opérations de cyber-espionnage visant de grandes entreprises internationales et des attaques ciblées contre les entreprises pharmaceutiques développant des vaccins contre la COVID-19.

 

Vous cherchez le meilleur contenu SOC compatible avec vos solutions de sécurité ? Obtenez un abonnement gratuit à notre Threat Detection Marketplace. Vous aimez coder et souhaitez contribuer aux initiatives de chasse aux menaces ? Rejoignez le Threat Bounty Program de SOC Prime pour un avenir plus sûr !

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.

Articles connexes