Jeudi 29 septembre, le Threat Intelligence Center de Microsoft a publié un avis sur une campagne de piratage en cours menée par le gang de hackers Lazarus. Cette campagne cible de grandes industries au Royaume-Uni, aux États-Unis, en Inde et en Russie via des logiciels open source infectés.
Infecter les logiciels open source avec des codes malveillants
Pour hacker les cibles, Lazarus utilise des logiciels open source infectés par un trojan comme vecteur d’attaque. Ils abusent des outils comme PuTTY, KiTTY, TightVNC et Sumatra PDF Reader. Le programme d’installation du logiciel muPDF/Subliminal Recording fait aussi partie du lot.
Ces logiciels ont été utilisés dans des attaques d’ingénierie sociale pour installer une porte dérobée (ZetaNile). Les hackers ont mené cette campagne de fin avril à mi-septembre 2022. Concrètement, les acteurs malveillants se font passer pour des recruteurs. Ils prennent ensuite contact avec des employés des organisations ciblées via LinkedIn.
Après avoir développé un certain niveau de confiance, les pirates demandent aux employés d’installer les applications qui vont infecter leur système. Grâce à quoi, les hackers ont pu compromettre de nombreuses organisations depuis le mois de juin.
Parmi leurs cibles, des organisations des secteurs des médias, de la défense, de l’aérospatiale et des services informatiques, déclare Microsoft. Dans leur processus d’attaque par ingénierie sociale, les acteurs malveillants se sont particulièrement concentrés sur les ingénieurs et les professionnels du support technique.
Une vaste campagne d’espionnage pour voler des informations sensibles
Les logiciels open source infectés permettent aux acteurs malveillants d’installer une porte dérobée sur le système compromis. Ils peuvent ainsi explorer le réseau dans le but ultime de voler des informations sensibles.
L’entreprise de cybersécurité américaine Mandiant a aussi mené des investigations sur les activités de cyberespionnage de ce tristement célèbre gang de hackers Lazarus. Les conclusions de la recherche indiquent que la dernière campagne ferait partie de l’opération Dream Job.
Dream Job est une campagne de cyberespionnage nord-coréenne active depuis juin 2020. La tactique utilisée est celle observée sur la dernière campagne. Autrement dit, les acteurs malveillants attirent des cibles d’importantes sociétés de défense et d’aérospatiale aux États-Unis avec de fausses offres d’emploi.
Pour rappel, Lazarus est un groupe de pirate parrainé par la République populaire démocratique de Corée (Corée du Nord). Sa « notoriété » a littéralement explosé après le piratage de Sony Pictures et de nombreuses banques en 2017. Depuis, le gang continue son activité, notamment dans le cyberespionnage des grandes organisations et industries des grandes puissances économiques.
- Partager l'article :