L'acteur notoire d'APT, Lazarus, étend ses attaques et cible désormais des entreprises en Europe, notamment en Allemagne et en Suisse. Les experts de Kaspersky ont pu identifier des attaques avec la porte dérobée DTrack contre deux entreprises allemandes de traitement et de fabrication de produits chimiques et une contre une entreprise suisse de traitement de produits chimiques.
Lazarus est actif depuis au moins 2009 et a été accusé de cyberespionnage, de cybersabotage et d'attaques de rançongiciels. Au départ, le groupe se concentrait sur la mise en œuvre de ce qui semblait être un programme géopolitique centré principalement sur la Corée du Sud. Cependant, il s'est déplacé vers des cibles mondiales et a également commencé à lancer des attaques à des fins lucratives.
Les attaques visent actuellement également des entreprises en Europe. Les experts de Kaspersky ont pu identifier deux attaques en Allemagne dans lesquelles DTrack a été utilisé comme porte dérobée : l'une contre une entreprise de traitement chimique et l'autre dans la fabrication. Par ailleurs, une attaque contre une entreprise suisse de traitement chimique a pu être identifiée.
Porte dérobée modifiée DTrack
La porte dérobée DTrack a été découverte à l'origine en 2019 [3] et n'a pas changé de manière significative au fil du temps. DTrack se cache dans un fichier exécutable qui ressemble à un programme légitime. Il y a plusieurs étapes de déchiffrement avant le démarrage de la charge utile du malware. Ce qui est nouveau, c'est une troisième couche de cryptage supplémentaire qui a été ajoutée dans certains des nouveaux échantillons de logiciels malveillants.
L'analyse de Kaspersky montre que Lazarus utilise la porte dérobée pour une variété d'attaques visant un gain financier. Il permet aux cybercriminels de télécharger, télécharger, lancer ou supprimer des fichiers sur l'hôte de la victime. L'un des fichiers téléchargés et exécutés, qui a déjà été repéré dans le cadre de l'ensemble d'outils habituel de DTrack, est un enregistreur de frappe ainsi qu'un créateur de captures d'écran et un module de collecte des informations système de la victime. Dans l'ensemble, un tel ensemble d'outils peut aider les cybercriminels à effectuer des mouvements latéraux dans l'infrastructure des victimes, par exemple pour récupérer des informations.
Ciblage KRITIS, écoles, recherche
Selon la télémétrie KSN, DTrack est actif en Allemagne, au Brésil, en Inde, en Italie, au Mexique, en Suisse, en Arabie saoudite, en Turquie et aux États-Unis. Lazare élargit ainsi le cercle de ses victimes. Les entreprises ciblées comprennent des parties d'infrastructures critiques telles que les établissements d'enseignement, les entreprises de traitement chimique, les centres de recherche gouvernementaux et les ministères, les fournisseurs de services informatiques, les services publics et les télécommunications.
« DTrack est toujours activement utilisé par Lazarus », explique Jornt van der Wiel, chercheur en sécurité au sein de l'équipe mondiale de recherche et d'analyse (GReAT) de Kaspersky. « Les modifications apportées à la façon dont le logiciel malveillant est empaqueté montrent que Lazarus accorde toujours une grande valeur à DTrack. Pourtant, Lazarus n'a pas beaucoup changé à ce sujet depuis 2019, date à laquelle il a été découvert à l'origine. Cependant, l'analyse de la victimologie montre que les opérations se sont étendues à l'Europe, une tendance que nous observons plus fréquemment.
Plus sur Kasperky.com
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/