Évolution du Cluster DeathNote de Lazarus : des attaques de crypto-monnaies au secteur de la défense

0
146

Kaspersky a dernièrement investigué sur DeathNote, l’un des clusters du groupe Lazarus. DeathNote s’est radicalement transformé au fil des ans. Actif à partir de 2019, le cluster a d’abord ciblé des entreprises de crypto-monnaies du monde entier, avant d’être responsable, fin 2022, de campagnes ciblées qui ont affecté des entreprises informatiques et des sociétés de défense en Europe, en Amérique latine, en Corée du Sud et en Afrique. Le dernier rapport de Kaspersky fait état de ce changement des cibles de DeathNote ainsi que du développement et du perfectionnement de ses outils, techniques et procédures au cours des quatre dernières années.

Tribune – On ne présente plus Lazarus, acteur de la menace à l’origine de nombreuses campagnes à l’encontre d’entreprises liées aux crypto-monnaies. En surveillant les activités du groupe, Kaspersky a remarqué l’utilisation d’un logiciel malveillant considérablement modifié. Mi-octobre 2019, les analystes de Kaspersky ont découvert un document suspect déposé sur VirusTotal. L’auteur du malware a utilisé des documents de phishing exploitant des informations liées à des activités de crypto-monnaies. Il s’agit notamment d’un questionnaire sur l’achat de crypto-monnaies spécifiques, de pitchs de présentation d’une crypto-monnaie en particulier et d’une société de minage de bitcoins. C’était alors la première fois que la campagne DeathNote entrait en jeu, ciblant des personnes et des entreprises impliquées dans les crypto-monnaies à Chypre, aux États-Unis, à Taïwan et à Hong Kong.

Chronologie de la grappe DeathNote

Cependant, en avril 2020, Kaspersky a constaté un changement important dans les vecteurs d’infection de DeathNote. Les recherches ont révélé que le groupe s’est employé à cibler les organisations des secteurs automobiles et universitaires d’Europe de l’Est liées à l’industrie de la défense. C’est à cette époque que DeathNote a échangé les documents de phishing relatifs aux descriptions de postes des entreprises de défense contre des documents liés à la diplomatie. En outre, l’acteur a élaboré sa chaîne d’infection en utilisant une technique d’injection de modèles RTF dans ses documents piégés, et utilisé un logiciel de visualisation PDF trojanisé à code source ouvert. Ces deux méthodes d’infection aboutissent au même logiciel malveillant (DeathNote downloader), qui permet de collecter et transférer les informations personnelles de la victime.

En mai 2021, Kaspersky a constaté qu’une société informatique européenne, qui fournit des solutions pour la surveillance des périphériques de réseau et des serveurs, avait été compromise par le groupe DeathNote. De plus, début juin 2021, ce sous-groupe de Lazarus a commencé à utiliser un nouveau dispositif pour infecter des cibles en Corée du Sud. Ce qui a particulièrement interpellé les chercheurs, c’est que la phase initiale du logiciel malveillant était exécutée par un logiciel légitime, largement utilisé dans les processus de sécurité en Corée du Sud.

En surveillant l’activité de DeathNote pendant l’année 2022, les chercheurs de Kaspersky ont découvert que le groupe avait été responsable d’attaques contre un sous-traitant du secteur de la défense en Amérique latine. Le vecteur d’infection initial était similaire à ce que Kaspersky avait déjà pu observer avec d’autres cibles du secteur de la défense, impliquant l’utilisation d’un lecteur PDF trojanisé associé à un fichier PDF falsifié. Cependant, dans ce cas particulier, l’acteur a adopté une technique de sideloading pour exécuter la charge utile finale. 

Dans la campagne en cours, découverte pour la première fois en juillet 2022, il a été révélé que le groupe Lazarus avait réussi à pénétrer dans une entreprise de défense en Afrique. L’infection initiale a été rendue possible via une application PDF suspecte, envoyée par Skype Messenger. Lors de son exécution, le lecteur PDF a généré un fichier légitime (CameraSettingsUIHost.exe) et un fichier malveillant (DUI70.dll) dans le même répertoire.

« Le groupe Lazarus est un acteur de la menace de renom, qui s’est maintes fois prouvé très compétent. Notre analyse du groupe DeathNote révèle une évolution rapide de ses tactiques, techniques et procédures au fil des ans. Dans cette campagne, Lazarus ne se limite pas aux activités relatives à la crypto, mais va beaucoup plus loin. Il déploie à la fois des logiciels légitimes et des fichiers malveillants pour compromettre des entreprises de défense. Alors que le groupe Lazarus continue d’affiner ses approches, il est crucial pour les organisations de rester vigilantes et de prendre des mesures proactives pour se défendre contre ce genre d’activités malveillantes », commente Seongsu Park, chercheur principal en sécurité au GReAT (Global Research & Analysis Team) de Kaspersky. 

Pour en savoir plus sur le groupe DeathNote de Lazarus, les différentes étapes de leurs campagnes et leurs TTPs, consultez le rapport complet sur Securelist.

Pour éviter d’être victime d’attaques ciblées de la part d’acteurs connus ou inconnus, les chercheurs de Kaspersky recommandent de mettre en œuvre les mesures suivantes :

  • Réalisez un audit de cybersécurité et surveillez constamment vos réseaux afin de corriger toute faiblesse ou élément malveillant découvert dans le périmètre ou à l’intérieur du réseau.

  • Dispensez à votre personnel une formation de base en matière de cybersécurité, car de nombreuses attaques ciblées commencent par des stratégies de hameçonnage ou d’autres techniques d’ingénierie sociale.

  • Apprenez à vos employés à ne télécharger des logiciels et des applications mobiles qu’à partir de sources fiables et des magasins d’applications officiels.

  • Utilisez un produit EDR pour permettre la détection des incidents et la réponse aux menaces avancées en temps voulu.

  • Adoptez une solution anti-fraude capable de protéger les transactions en crypto-monnaies en détectant et en empêchant le vol de compte, les transactions non vérifiées et le blanchiment d’argent.