Lazarus frappe les entreprises de défense avec le malware ThreatNeedle – Bien installer son serveur


Sécurité des infrastructures critiques
,
La cybercriminalité en tant que service
,
Cyberguerre / attaques des États-nations

Kaspersky associe la dernière campagne de piratage et la porte dérobée au groupe Lazarus

Doug Olenick (DougOlenick) •
25 février 2021

Lazarus frappe les entreprises de défense avec le malware ThreatNeedle

Lazarus, le groupe de menaces persistantes avancé soutenu par la Corée du Nord, a lancé une campagne ciblant l'industrie de la défense dans plus d'une douzaine de pays en utilisant une porte dérobée appelée ThreatNeedle qui se déplace latéralement à travers les réseaux et peut surmonter la segmentation du réseau, selon les chercheurs de Kaspersky.

Voir également: 50 principales menaces de sécurité

Cette campagne en cours, qui a débuté en 2020, utilise une approche en plusieurs étapes qui commence par une attaque de spear-phishing relativement basique mais bien pensée qui conduit finalement Lazarus à prendre le contrôle total de l'unité de la victime, notent les chercheurs.

ThreatNeedle, qui fait partie de la famille de logiciels malveillants Manuscrypt de Lazarus, peut également accéder et voler des données à partir de parties segmentées d'un réseau qui ne sont pas directement connectées à Internet, a déclaré Kaspersky.

«Nous avons observé comment ils ont surmonté la segmentation du réseau en accédant à un routeur interne et en le configurant en tant que serveur proxy afin qu'ils puissent exfiltrer les données volées du réseau intranet vers leur serveur distant», ont déclaré Seongsu Park et Vyacheslav Kopeytsev, chercheurs principaux sur les menaces. avec Kaspersky.

Ce n'est pas la première fois que ThreatNeedle est utilisé par Lazarus, également connu sous le nom d'APT38 et Hidden Cobra. À partir de février 2018, le groupe de piratage nord-coréen a commencé à l'exploiter contre un échange de crypto-monnaie à Hong Kong et un développeur mobile sans nom, notent les chercheurs.

Plus tôt ce mois-ci, trois Nord-Coréens affiliés à Lazarus ont été inculpés par le département américain de la Justice pour avoir prétendument participé à une conspiration criminelle visant à voler ou à extorquer 1,3 milliard de dollars de crypto-monnaies et d'argent à des banques et d'autres organisations du monde entier. On ne sait pas si ces trois personnes étaient impliquées dans l'attaque citée par Kaspersky.

Une fois téléchargé et opérationnel, il peut manipuler des fichiers et des répertoires, effectuer le profilage du système, contrôler les processus de porte dérobée, forcer l'appareil à passer en mode veille ou veille prolongée, mettre à jour la configuration de la porte dérobée et exécuter les commandes reçues, selon le rapport.

Surmonter la segmentation du réseau

L'aspect le plus dangereux de la campagne pour les entrepreneurs de la défense et d'autres cibles potentielles exploitant une installation industrielle est la capacité de Lazarus à surmonter la segmentation défensive des réseaux et à se déplacer latéralement vers des réseaux isolés d'Internet, notent les chercheurs de Kaspersky.

La configuration de la connexion entre les segments de réseau de la victime et la façon dont elle est surmontée

Kaspersky a analysé une victime qui partageait le réseau dans un segment d'entreprise où les ordinateurs avaient accès à Internet et une partie limitée du réseau qui hébergeait des données sensibles mais n'avait pas d'accès direct à Internet. La société pensait avoir mis en place le réseau de manière à ce qu'aucune donnée ne puisse être partagée entre les deux segments.

Mais ce n'était pas entièrement vrai. Les administrateurs informatiques de l'entreprise peuvent se connecter à la zone restreinte pour effectuer la maintenance, que l'attaquant a découverte après avoir complètement infecté le réseau de l'entreprise, y compris les ordinateurs du service informatique, avec des logiciels malveillants.

Les attaquants ont ensuite utilisé les ordinateurs du service informatique pour se connecter à la partie segmentée du réseau, ce qui impliquait de trouver le routeur utilisé pour se connecter au segment isolé. Dans un cas qui a fait l'objet d'une enquête, les attaquants y sont parvenus en trouvant les informations d'identification des routeurs stockées dans le système.

"Les attaquants ont scanné les ports des routeurs et ont découvert une interface Webmin. Les attaquants se sont ensuite connectés à l'interface réseau en utilisant un compte root privilégié", ont déclaré les chercheurs.

Cela a effectivement transformé le serveur de l'entreprise en proxy, permettant aux logiciels malveillants d'être téléchargés dans la partie segmentée du réseau et de supprimer les données.

Pour lancer l'attaque

Comme pour les autres campagnes Lazarus, le premier point d'entrée se fait par une campagne de pêche au javelot, bien que, dans ce cas, une campagne développée avec beaucoup de soin et distribuée par une équipe très persistante, disent les chercheurs.

L'e-mail de phishing proprement dit est basique et contient un document Microsoft Word malveillant ou un lien vers un serveur distant malveillant. L'ingénieur social dans ces attaques utilise des sujets d'intérêt pour la cible. De plus, l'attaquant écrit le contenu comme s'il provenait de l'organisation lors de l'attaque, note le rapport.

Le destinataire de l'e-mail est sélectionné à l'aide d'informations accessibles au public, qui sont ensuite utilisées dans l'e-mail pour le rendre plus convaincant. Un logiciel malveillant est injecté si le document ou le site Web malveillant est disponible, selon les chercheurs.

Un point spécifiquement crié par Kaspersky est que l'attaquant ne désespérerait pas si une attaque échouait initialement. Au lieu de cela, ils ont suivi plusieurs e-mails contenant des informations ou des conseils légèrement différents sur la façon dont les macros Word pourraient essayer de convaincre la personne d'agir.

Aiguille de menace

Lorsque la victime clique sur le document ou le lien, la première phase de la porte dérobée ThreatNeedle est endommagée, permettant à l'attaquant de prendre le contrôle du système de mesure, selon Kaspersky. L'attaquant utilise cet accès pour effectuer une reconstruction initiale, puis distribuer des logiciels malveillants supplémentaires qui lui permettent de se déplacer latéralement dans le système.

La porte dérobée elle-même est cryptée et intégrée dans le code du malware qui nécessite une clé RC4, ou Rivest Cipher 4, pour déchiffrer. Le logiciel malveillant endommagé est enregistré en tant que service Windows et lancé. En outre, les logiciels malveillants stockent les données de configuration sous forme de clé de registre cryptée dans RC4, selon les chercheurs.

La phase de filtrage des données commence alors avec, dans un cas, l'attaquant utilisant un outil de tunneling personnalisé pour créer des tunnels secrets Secure Shell – SSH – vers un serveur distant situé en Corée du Sud. Lazarus utilise un simple cryptage binaire dans ce processus. L'outil est assez basique avec la possibilité de transférer le trafic vers le serveur, disent les chercheurs.