APT Group Lazarus cible les entreprises de défense. Le malware 'ThreatNeedle' attaque également les réseaux restreints sans accès Internet.
Les chercheurs de Kaspersky ont identifié une nouvelle campagne jusqu'alors inconnue de l'acteur de menace avancé Lazarus. Depuis le début de 2020, il cible les entreprises de l'industrie de la défense avec la porte dérobée personnalisée « ThreatNeedle ». La porte dérobée se déplace latéralement à travers les réseaux infectés et recueille des informations sensibles. Lazarus peut voler des données à la fois sur des réseaux informatiques et restreints.
Groupe Lazarus actif depuis 2009
Lazarus est un acteur menaçant prolifique actif depuis au moins 2009. Le groupe est connu pour ses campagnes de cyberespionnage et de ransomware à grande échelle, ainsi que pour ses attaques sur le marché des crypto-monnaies. Des attaques actuelles ont également été identifiées en lien avec le Covid-19 et la recherche de vaccins. Alors que Lazarus s'est concentré sur les institutions financières les années précédentes, depuis le début de 2020, l'industrie de la défense semble avoir été au centre des activités.
Un incident de porte dérobée expose ThreatNeedle
Les chercheurs de Kaspersky ont pris connaissance de cette nouvelle campagne lorsqu'ils ont été appelés pour prendre en charge une réponse à un incident. Après analyse, il est devenu clair que l'organisation avait été victime d'une porte dérobée personnalisée, un type de malware qui permet un contrôle à distance complet de l'appareil. Surnommée ThreatNeedle, cette porte dérobée se déplace latéralement à travers les réseaux infectés et extrait des informations sensibles. Jusqu'à présent, des organisations dans plus d'une douzaine de pays ont été touchées. Kaspersky a découvert de nombreux hôtes d'Europe, d'Amérique du Nord, du Moyen-Orient et d'Asie qui s'étaient connectés à l'infrastructure de l'attaquant.
Schéma et approche d'infection de ThreatNeedle
L'infection initiale se produit via des e-mails de spear phishing contenant soit une pièce jointe Word malveillante, soit un lien vers une pièce jointe hébergée sur les serveurs de l'entreprise. Les e-mails, souvent déguisés en mises à jour urgentes liées à la pandémie de coronavirus, proviendraient prétendument d'un centre médical réputé.
Si le document malveillant est ouvert, le logiciel malveillant s'exécute et passe à l'étape suivante du processus de livraison. Le logiciel malveillant ThreatNeedle utilisé appartient à la famille de logiciels malveillants "Manuscrypt", attribué au groupe Lazarus et précédemment utilisé dans des attaques contre des sociétés de crypto-monnaie. Une fois installé, ThreatNeedle acquiert un contrôle total sur l'appareil de la victime - de l'édition des fichiers à l'exécution des commandes reçues.
Vol de données sur les réseaux informatiques de bureau
En utilisant ThreatNeedle, Lazarus peut voler des données à la fois des réseaux informatiques de bureau (un réseau d'ordinateurs avec accès à Internet) et d'un réseau restreint d'une usine ou d'une installation (un réseau de ressources et d'ordinateurs critiques pour l'entreprise avec des données et des bases de données très sensibles sans accès à Internet) . Selon les politiques des entreprises attaquées, aucune information ne peut être transmise entre ces deux réseaux. Cependant, les administrateurs peuvent se connecter à l'un ou l'autre réseau pour la maintenance du système. Lazarus a pu prendre le contrôle des postes de travail des administrateurs et mettre en place une passerelle malveillante pour attaquer le réseau restreint et voler et extraire des données sensibles à partir de là.
En savoir plus sur la chaîne ICS de Kaspersky.com
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/