Le Groupe de Hackers Lazarus Change de Cibles et Applique des Techniques Avancées dans une Nouvelle Campagne DeathNote
Table des matières :
Le collectif de hackers nord-coréen notoire Lazarus Group, également suivi sous les noms APT38, Dark Seoul ou Hidden Cobra, s’est forgé une réputation d’acteurs de menace soutenus par un État, ciblant principalement les entreprises de crypto-monnaie. Dans la campagne malveillante récemment découverte surnommée DeathNote, les adversaires déplacent leur attention en ciblant principalement les organisations de défense ainsi que les secteurs automobile et académique.
Détecter la campagne DeathNote par Lazarus Hacker Squad
Présents sous les projecteurs dans l’univers des menaces cybernétiques depuis 2009, les hackers de Lazarus défient constamment les défenseurs cyber avec de nouvelles menaces et des capacités offensives améliorées. Dans la dernière campagne DeathNote, les expériences du groupe avec de nouveaux cibles et l’utilisation d’outils et techniques plus sophistiqués nécessitent une ultra-réactivité des forces défensives. Pour aider les organisations à identifier en temps opportun l’activité de l’adversaire dans leur infrastructure, SOC Prime a récemment publié une nouvelle règle Sigma écrite par notre développeur enthousiaste de Threat Bounty, Emre Ay:
Cette règle Sigma détecte la dernière activité du groupe Lazarus APT tentant d’accéder à la politique du contrôleur de domaine par défaut pour découvrir des informations sur le système compromis. La détection est alignée avec la dernière version 12 du cadre MITRE ATT&CK® adressant la tactique de découverte et la technique correspondante de découverte de politique de groupe (T1615). Pour assurer la compatibilité inter-outils, la règle peut être instantanément traduite en 20+ solutions SIEM, EDR, XDR, et BDP.
Les professionnels de la cybersécurité cherchant des moyens de monétiser leurs idées de détection et de chasse peuvent puiser dans la puissance de notre programme Threat Bounty pour partager leurs propres règles Sigmas avec leurs pairs de l’industrie et contribuer à l’expertise collective tout en convertissant leurs compétences en avantages financiers.
En raison du volume élevé d’attaques attribuées au collectif de hackers Lazarus et de son arsenal adversaire en constante évolution, les organisations progressistes s’efforcent de renforcer leurs capacités de défense cyber et de détecter de manière proactive les menaces associées. En cliquant sur le bouton Explore Detections ci-dessous, les défenseurs peuvent accéder immédiatement à la liste complète des règles Sigma pour la détection des activités du groupe Lazarus. Tous les algorithmes de détection sont enrichis avec des CTI, des liens ATT&CK, des binaires exécutables, et d’autres métadonnées pertinentes pour simplifier l’investigation des menaces.
Analyse d’attaque du groupe de hackers Lazarus : Ce qui se cache derrière la campagne DeathNote
Le fameux acteur de menace nord-coréen évolue rapidement dans son arsenal et ses stratégies liées à la campagne DeathNote de longue durée. La dernière enquête révèle que Lazarus passe des entreprises liées aux crypto-monnaies à des entrepreneurs de la défense, des institutions académiques et des entreprises automobiles, élargissant considérablement la liste des victimes potentielles.
Le groupe DeathNote, également suivi sous les noms NukeSped ou Operation Dream Job, implique l’exploitation de fausses opportunités d’emploi pour piéger les victimes afin qu’elles suivent des liens nocifs ou cliquent sur des fichiers infectés, entraînant le déploiement de logiciels malveillants espions. Le lancement initial de la campagne remonte à 2019-2020, se concentrant d’abord sur les acteurs du marché des crypto-monnaies. Les pics d’activité de DeathNote ont été enregistrés en août 2020 et juillet 2021, déplaçant l’intérêt des hackers vers les secteurs gouvernemental, de la défense, et de l’ingénierie. Selon les observations les plus récentes, les experts en sécurité estiment que les pays d’Europe de l’Est sont maintenant attaqués, avec tous les documents leurres et descriptions de postes liés aux entrepreneurs de la défense et aux entités diplomatiques renouvelés par Lazarus.
Le vecteur des crypto-monnaies de l’activité de Lazarus suit généralement la même routine malveillante. Le groupe de hackers s’appuie sur des leurres à thème de minage de Bitcoin pour déposer des documents truffés de macros et déclencher le backdoor Manuscrypt sur les instances compromises.
Les secteurs automobile et académique sont ciblés par une stratégie légèrement différente, liée à une campagne plus large contre l’industrie de la défense par Lazarus. Ces attaques se terminent fréquemment par le déploiement des implants BLINGCAN et COPPERHEDGE sur les machines des victimes.
La chaîne de destruction alternative liée à DeathNote repose sur une application de lecteur PDF légitime baptisée SumatraPDF pour continuer les activités malveillantes. L’abus de logiciels légitimes a été enregistré dans des attaques contre des organisations en Lettonie et en Corée du Sud menant à la livraison de backdoors et d’infostealers. C’est une méthode d’attaque largement utilisée par cet acteur parrainé par un État, avec un historique avéré sur les capacités de chaîne d’approvisionnement. Par exemple, Lazarus a été blâmé pour une attaque contre le fournisseur de services VoIP d’entreprise 3CX révélée en mars 2023.
Le volume croissant des cyberattaques par le célèbre groupe APT Lazarus soutenu par un État et leur sophistication croissante nécessitent une ultra-réactivité de la part des défenseurs cyber. Comptez sur SOC Prime pour être pleinement équipé de contenu de détection adressant les outils et attaques liés aux APT. Obtenez l’accès à plus de 1000 règles pour détecter les comportements associés aux acteurs parrainés par un État. Obtenez 200+ règles Sigma gratuitement sur https://socprime.com/ ou accédez à la liste complète des algorithmes de détection pertinents en choisissant l’abonnement On Demand adapté à vos besoins de sécurité sur https://my.socprime.com/pricing.
