La campagne APT (Advanced Persistent Threat) du groupe Lazarus attaque des organisations du monde entier. Le programme malveillant utilisé pour la compromission est distribué via un logiciel légitime.
L'équipe mondiale de recherche et d'analyse (GReAT) de Kaspersky a identifié un certain nombre d'incidents de cybersécurité dans lesquels les victimes ont été infectées à l'aide d'un logiciel légitime conçu pour crypter les communications en ligne via des certificats numériques. Même si les vulnérabilités ont été signalées et corrigées, les organisations du monde entier continuent d'utiliser la version malveillante du logiciel, ouvrant la porte au célèbre groupe Lazarus pour pénétrer dans leur réseau.
Schéma d'attaque sophistiqué via l'infection de la chaîne d'approvisionnement de logiciels légitimes
Les assaillants étaient très sophistiqués dans leurs opérations. Ils ont donc utilisé des techniques avancées pour éviter d’être détectés. Ils ont également utilisé SIGNBT, un malware pour contrôler les victimes. En outre, l'outil bien connu LPEClient a été utilisé, qui avait déjà été utilisé dans des attaques contre des entreprises de défense, des ingénieurs nucléaires et dans le secteur de la cryptographie. Ce malware sert de vecteur d’infection initial et est essentiel au profilage des victimes et à la livraison des charges utiles. Les conclusions des experts de Kaspersky indiquent que le rôle de LPEClient dans cette attaque et dans d'autres est cohérent avec les tactiques précédentes du groupe Lazarus, telles que celles observées dans la tristement célèbre attaque de la chaîne d'approvisionnement 3CX.
Le groupe Lazarus attaque à plusieurs reprises
En outre, l’analyse de Kaspersky montre que la victime initiale – le fournisseur du logiciel légitime – a déjà été attaquée à plusieurs reprises par le malware Lazarus. Ce schéma d'attaques récurrentes indique un acteur persistant, probablement déterminé à voler du code source critique ou à perturber une chaîne d'approvisionnement en logiciels. Les responsables de la campagne ont systématiquement exploité les vulnérabilités des logiciels de l'entreprise et attaqué d'autres organisations qui utilisaient la version non corrigée du logiciel. Kaspersky Endpoint Security a détecté la menace de manière proactive et a empêché de nouvelles attaques contre d'autres cibles.
« Le fait que le groupe Lazarus soit toujours actif témoigne de ses capacités avancées et de sa motivation inébranlable. Elle opère dans le monde entier et cible diverses industries en utilisant diverses méthodes. Nous pensons qu’il s’agit d’une menace persistante et évolutive qui nécessite une vigilance accrue », a déclaré Seongsu Park, chercheur principal en sécurité au sein de l’équipe mondiale de recherche et d’analyse de Kaspersky.
Plus sur Kaspersky.de
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/