Les chercheurs d'ESET analysent l'activité récente d'un groupe APT notoire : le groupe Lazarus falsifiant un logiciel de sécurité.
Les chercheurs d'ESET ont découvert une campagne du groupe Lazarus ciblant spécifiquement les internautes sud-coréens. Les attaquants utilisent un programme malveillant qui infecte la chaîne d'approvisionnement logicielle par une manipulation inhabituelle. Pour ce faire, les pirates utilisent à mauvais escient un logiciel de sécurité sud-coréen légitime appelé WIZVERA VeraPort et des certificats numériques. En Corée du Sud, il est courant que lorsqu'ils visitent des sites Web gouvernementaux ou bancaires en ligne, les utilisateurs soient souvent invités à installer un logiciel de sécurité supplémentaire. Les chercheurs d'ESET ont maintenant publié leur analyse détaillée sur WeliveSecurity.
« WIZVERA VeraPort est une application sud-coréenne spéciale pour installer et gérer des logiciels de sécurité supplémentaires. Une interaction minimale de l'utilisateur est nécessaire pour lancer une telle installation logicielle », explique Anton Cherepanov, le chercheur d'ESET qui a mené l'enquête sur l'attaque. « Généralement, ce logiciel est utilisé par les sites Web gouvernementaux et bancaires. Pour certains de ces sites, il est obligatoire d'installer WIZVERA Veraport.
Certificat de signature de code illégal
Afin de propager le logiciel malveillant utilisé, les attaquants utilisent des certificats de signature de code obtenus illégalement. Ceux-ci ont été émis à l'origine pour une filiale américaine d'une société de sécurité sud-coréenne. « Les attaquants déguisent le malware en logiciel légitime. Les programmes malveillants ont des noms de fichiers, des icônes et des ressources similaires aux logiciels sud-coréens légitimes", explique le chercheur d'ESET Peter Kálnai, "C'est la combinaison de sites Web compromis avec la prise en charge de WIZVERA VeraPort et de paramètres VeraPort spécifiques qui permet aux attaquants de mener cette attaque."
Lazarus Group est derrière la campagne ?
Les experts d'ESET ont trouvé des preuves que l'attaque peut être attribuée au groupe Lazarus. La campagne actuelle s'inscrit dans la continuité de ce que le CERT sud-coréen (KrCERT) a baptisé Operation BookCodes. Cette campagne a également été attribuée au groupe APT.
D'autres indices incluent les caractéristiques typiques des outils utilisés, les méthodes de cryptage, la configuration de l'infrastructure réseau et le fait que l'attaque a eu lieu en Corée du Sud, où Lazarus est connu pour opérer.
En savoir plus sur WeLiveSecurity d'ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.