Titre: ESET Research : dans le monde entier, Lazarus attaque des sous-traitants en aérospatiale et en défense tout en abusant de LinkedIn et de WhatsApp (01/06/2022 Par cda)
BRATISLAVA – Le 1er juin 2022 - Lors de la conférence annuelle ESET World, les chercheurs d'ESET ont présenté une nouvelle enquête sur le tristement célèbre groupe Lazarus APT. Le directeur d'ESET Threat Research, Jean-Ian Boutin, a passé en revue plusieurs nouvelles campagnes du groupe Lazarus contre des sous-traitants de la défense à travers le monde ayant eu lieu entre fin 2021 et mars 2022.
Dans les attaques correspondantes, de 2021-2022, et selon la télémétrie d’ESET, Lazarus a ciblé des entreprises en Europe (France, Italie, Allemagne, Pays-Bas, Pologne et Ukraine) et en Amérique Latine (Brésil).
Bien que l'objectif principal de l’opération Lazarus soit le cyber-espionnage, le groupe a également essayé d’exfiltrer de l'argent (sans succès). « Le groupe Lazarus a fait preuve d'ingéniosité en déployant un ensemble d'outils intéressants, comprenant, par exemple, un composant en mode utilisateur capable d'exploiter un pilote Dell vulnérable afin d'écrire dans la mémoire du noyau. Cette astuce avancée a été utilisée pour tenter de contourner la surveillance des solutions de sécurité », explique Jean-Ian Boutin.
Dès 2020, les chercheurs d'ESET avaient déjà documenté une campagne menée par un sous-groupe de Lazarus contre les sous-traitants européens de l'aérospatiale et de la défense. ESET l’a appelée opération In(ter)ception. Cette campagne était remarquable car elle utilisait les médias sociaux, en particulier LinkedIn, pour établir la confiance entre l'attaquant et un employé sans méfiance avant de lui envoyer des composants malveillants se faisant passer pour des descriptions d’emploi ou de candidatures. A l’époque, des entreprises au Brésil, en République Tchèque, au Qatar, en Turquie et en Ukraine avaient déjà été ciblées.
Les chercheurs d'ESET pensaient que l'action visait principalement à attaquer des entreprises européennes, mais en suivant un certain nombre de sous-groupes Lazarus effectuant des campagnes similaires contre des entreprises en défense, ils ont rapidement réalisé que la campagne était bien plus vaste. Alors que les logiciels malveillants utilisés dans les différentes campagnes étaient différents, le modus operandi initial (M.O.) est toujours resté le même : un faux recruteur contactait un employé via LinkedIn et lui envoyait ensuite des composants malveillants.
Ils ont donc utilisé le même M.O. que dans le passé. Cependant, les chercheurs d'ESET ont également constaté la réutilisation d'éléments de campagnes d'embauche légitimes pour renforcer la légitimité des campagnes de leurs faux recruteurs. Par ailleurs, les attaquants ont utilisé des services tels que WhatsApp ou Slack dans leurs campagnes malveillantes.

En 2021, le ministère de la Justice US a inculpé trois programmeurs pour cyberattaques alors qu'ils travaillaient pour l'armée nord-coréenne. Selon le gouvernement américain, ils appartenaient à l'unité de pirates militaires nord-coréenne connue dans la communauté infosec sous le nom de Lazarus Group.
Lors de sa conférence annuelle, ESET a aussi présenté ses nouvelles recherches sur Lazarus : "La Cyberguerre passée et présente en Ukraine". Robert Lipovsky, chercheur chez ESET, a examiné en détail la cyberguerre lors de l’invasion de l’Ukraine, y compris la dernière tentative de perturbation du réseau électrique du pays avec Industroyer2 et diverses attaques Wiper.
A ESET World, aux côtés d'ESET Research, l'ancien commandant de la Station ISS (station spatiale internationale), l'astronaute canadien Chris Hadfield, personnage clé de la campagne Progress Protected d'ESET, a rejoint le PDG d'ESET, Richard Marko, pour discuter des subtilités de la technologie, de la science et de la vie.
A propos d’ESET
Depuis plus de 30 ans, ESET®développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez nous sur LinkedIn, Facebook, Twitter et https://www.eset.com/be-fr/ .
Retour