Titre: Par une nouvelle porte dérobée, Lazarus attaque une entreprise de logistique en Afrique du Sud : une découverte d’ESET Research (12/04/2021 Par cda)
Les chercheurs d'ESET ont découvert une porte dérobée encore non documentée, utilisée pour attaquer une entreprise de logistique en Afrique du Sud. Ils l’ont surnommée Vyveva et ont attribué ce malware au tristement célèbre groupe Lazarus en raison de similitudes avec les opérations et les échantillons précédents de ce groupe. Cette porte dérobée dispose de nombreuses capacités de cyber-espionnage, telles que l'exfiltration de fichiers et la collecte d'informations sur l'ordinateur ciblé et ses disques. Il communique avec son serveur Command & Control (C&C) via le réseau Tor qui permet l’anonymat.

La télémétrie d’ESET pour Vyveva suggère un déploiement ciblé car les chercheurs n'ont trouvé que deux victimes, qui sont toutes deux des serveurs appartenant à la société de logistique sud-africaine. Selon l'enquête ESET, Vyveva est utilisé depuis au moins décembre 2018.

«Vyveva partage de nombreuses similitudes de code avec les anciens échantillons de Lazarus détectés par la technologie ESET. Mais les similitudes vont plus loin : l'utilisation d'un faux protocole TLS dans la communication réseau, les chaînes d'exécution de lignes de commande et les méthodes d'utilisation du cryptage et des services Tor pointent toutes dans la direction de Lazarus. Nous pouvons dès lors attribuer Vyveva à ce groupe APT avec beaucoup de confiance », déclare Filip Jurčacko, chercheur chez ESET, qui a analysé l'arsenal de Lazarus.

La porte dérobée exécute les commandes émises par les criminels, telles que les opérations de fichiers et de processus ainsi que la collecte d'informations. Il existe également une commande moins courante pour le timestamping de fichiers, qui permet de copier les horodatages d'un fichier «donneur» vers un fichier de destination ou d'utiliser une date aléatoire.

Vyveva utilise la bibliothèque Tor pour communiquer avec un serveur C&C. Il contacte le C&C à intervalles de trois minutes, envoyant des informations sur l'ordinateur victime et ses disques avant de recevoir des commandes. «Les chiens de garde de la porte dérobée sont particulièrement intéressants pour surveiller les disques nouvellement connectés et déconnectés, ainsi que le chien de garde de session qui surveille le nombre de sessions actives, comme les utilisateurs connectés. Ces composants peuvent déclencher une connexion au serveur C&C en dehors de l'intervalle régulier de trois minutes », explique Jurčacko.

Pour plus de détails techniques sur Vyveva, lisez le blog «(Are you) afreight of the dark? Watch out for Vyveva, the latest addition to the Lazarus toolkit» https://www.welivesecurity.com/?s=Vyveva sur WeLiveSecurity. Assurez-vous de suivre ESET Research sur Twitter pour les dernières nouvelles d'ESET Research.
Retour