Détection de l’Opération Blacksmith : Le groupe APT Lazarus utilise une exploitation CVE-2021-44228 pour déployer de nouvelles souches de malwares basées sur DLang
Table des matières :
Les adversaires ont porté leur attention sur une faille de sécurité notoire de la bibliothèque Java Log4j suivie sous le nom de CVE-2021-44228, alias Log4Shell, même quelques années après sa divulgation. Une nouvelle campagne baptisée « Opération Blacksmith » implique l’exploitation de la vulnérabilité Log4Shell pour déployer de nouvelles souches malveillantes écrites en DLang, y compris des RATs inédits. Le groupe APT nord-coréen Lazarus Group est supposé être derrière l’opération Blacksmith nouvellement découverte.
Détecter l’activité de l’opération Blacksmith liée à Lazarus APT
Les groupes APT soutenus par la nation nord-coréenne continuent de constituer des menaces pour les organisations mondiales dans de nombreux secteurs industriels. Le néfaste groupe Lazarus, qui a acquis la reconnaissance d’un collectif de piratage compétent et bien financé, créant le chaos depuis 2009, refait surface dans la dernière campagne Opération Blacksmith. La plateforme SOC Prime équipe les défenseurs avec des algorithmes de détection sélectionnés pour identifier en temps opportun les intrusions de Lazarus dans la dernière campagne. Suivez le lien ci-dessous pour obtenir des règles Sigma mappées à MITRE ATT&CK®, enrichies d’informations sur mesure, et adaptées pour des dizaines de plateformes d’analyse de sécurité.
Règles Sigma pour détecter la campagne Opération Blacksmith attribuée à Lazarus APT
De plus, les ingénieurs en sécurité peuvent s’appuyer sur des détections pour se défendre contre les attaques d’Onyx Sleet alias Andariel APT, un sous-groupe parrainé par l’État nord-coréen opérant sous la tutelle de Lazarus :
Règles Sigma pour détecter les attaques liées à Andariel APT
Règles Sigma pour détecter les attaques liées à Onyx Sleet
Cliquez Explorez les détections pour accéder à l’ensemble complet des détections pour les attaques liées à Lazarus et étiquetées en conséquence. Plongez dans des métadonnées étendues, y compris les liens ATT&CK et CTI, pour une recherche de menaces simplifiée. Alternativement, approfondissez les détections sélectionnées pour vous défendre de manière proactive contre Hidden Cobra or les attaques APT38 filtrées par les tags personnalisés basés sur l’attribution de l’acteur concerné.
Analyse de l’Opération Blacksmith : Perspectives sur l’exploitation de CVE-2021-44228 pour déployer un nouveau malware basé sur Telegram
Le collectif de hackers soutenu par la nation Lazarus (alias APT38, Dark Seoul, ou Hidden Cobra) de Corée du Nord continue d’armer le CVE-2021-44228, vulnérabilité de 2 ans connue sous le nom de vulnérabilité Log4Shell pour diffuser trois nouvelles souches de logiciels malveillants développées dans le langage de programmation DLang. Ces familles de malware nouvellement identifiées incluent deux RATs auparavant inconnus appelés NineRAT et DLRAT, accompagnés d’un téléchargeur malveillant surnommé BottomLoader. La nouvelle campagne découverte par Cisco Talos a attiré l’attention sous le nom « Opération Blacksmith » avec les secteurs de la fabrication, de l’agriculture et de la sécurité physique étant les principales cibles des attaquants.
La chaîne d’attaque commence par l’exploitation réussie de CVE-2021-44228 servant de point d’entrée aux serveurs ciblés. Après avoir obtenu un accès initial, Lazarus réalise une reconnaissance préliminaire, qui ouvre ensuite la voie au déploiement d’un implant personnalisé sur le système compromis. Ensuite, Lazarus déploie HazyLoad, un outil proxy conçu pour créer un accès direct au système compromis, éliminant la nécessité d’une réexploitation récurrente de CVE-2021-44228. Les hackers établissent également un compte utilisateur supplémentaire sur le système, lui conférant des privilèges administratifs. Après l’exécution réussie du vol d’informations d’identification, Lazarus procède à l’installation de NineRAT sur les systèmes impactés. NineRAT utilise l’API Telegram pour la communication C2. Le malware comprend un dropper conçu pour créer une persistance et initier les binaires principaux. L’utilisation de Telegram est très probablement utilisée pour l’évasion de détection en exploitant un service légitime pour la communication C2.
Le malware non basé sur Telegram connu sous le nom de DLRAT permet aux hackers de Lazarus de déployer des charges supplémentaires sur les systèmes compromis. Dès son activation initiale sur un appareil, DLRAT exécute des commandes prédéfinies pour collecter des données système de base, qui sont ensuite envoyées au serveur C2.
Le troisième malware employé dans l’Opération Blacksmith appelé BottomLoader est un téléchargeur basé sur DLang destiné à la reconnaissance système qui récupère et exécute des charges à partir d’une URL prédéfinie via PowerShell. BottomLoader permet à Lazarus APT de transférer des fichiers du système impacté vers le serveur C2, améliorant ainsi la flexibilité opérationnelle.
Les chercheurs de Talos ont observé que, au cours des 18 derniers mois, Lazarus a utilisé des RATs développés via des technologies non conventionnelles, y compris QtFramework, PowerBasic, et, plus récemment, écrits en DLang.
Notamment, Talos suit également des similitudes entre la campagne Lazarus la plus récente basée sur les TTP de l’adversaire observés, qui sont compatibles avec le groupe parrainé par l’État nord-coréen Onyx Sleet (alias PLUTIONIUM), également suivi en tant que groupe Andariel APT. Ce dernier est couramment reconnu comme une sous-unité APT opérant sous l’égide de Lazarus.
L’opération Blacksmith marque un changement significatif dans les TTPs du groupe Lazarus, affichant l’évolution continue de la boîte à outils de l’adversaire utilisée par les acteurs malveillants. Connectez-vous à la plateforme SOC Prime pour accéder à 6 000+ contenus du référentiel Threat Detection Marketplace pour détecter de manière proactive les attaques APT existantes et émergentes de toute échelle.
