L’acteur APT Lazarus cible désormais des entreprises en Europe
L’acteur APT Lazarus, bien connu des experts, a étendu la cible de ses attaques et cible désormais des entreprises en Europe, avec des victimes enregistrées notamment en Allemagne, en Italie et en Suisse. Les experts de Kaspersky ont pu identifier des attaques effectuées via la porte dérobée DTrack, visant des entreprises allemandes du secteur de la manufacture et de la fabrication de produits chimiques.
On attribue au groupe Lazarus, dont les activités malveillantes sont recensées depuis a minima 2009, divers types d’attaques, allant du cyberespionnage au cyber-sabotage, en passant par les attaques ransomwares. Si, à l’origine les activités du groupe semblaient centrées autour d’un programme à visée géopolitique et ciblaient essentiellement la Corée du Sud, il faut noter que les cibles de Lazarus sont aujourd’hui plus géographiquement diversifiées, et ses opérations récentes semblent avoir en parties des objectifs financiers.
Aujourd’hui, certaines des attaques mises en œuvre par le groupe prennent pour cible des entreprises européennes. C’est dans ce contexte que les experts de Kaspersky ont pu identifier deux attaques en Allemagne, dans lesquelles DTrack a été utilisé comme porte dérobée : l'une sur une entreprise de l'industrie chimique et l'autre dans l'industrie manufacturière. En outre, une attaque sur une entreprise suisse de traitement chimique a également été détectée.
Une porte dérobée Dtrack modifiée
La porte dérobée DTrack a été initialement découverte en 2019 et n'a pas été modifiée de manière significative au fil du temps. DTrack est dissimulé dans un fichier qui ressemble à un programme légitime, et comporte plusieurs étapes de décryptage avant que la charge utile du malware ne soit enclenchée. La nouveauté réside dans le fait qu’une troisième couche de chiffrement a été ajoutée dans certains des nouveaux échantillons de logiciels malveillants.
L'analyse de Kaspersky montre que Lazarus utilise la porte dérobée pour effectuer diverses attaques à but lucratif. La backdoor permet aux cybercriminels de charger, télécharger, exécuter ou supprimer des fichiers sur le serveur de la victime. Un enregistreur de frappe, un générateur de capture d’écran ainsi qu’un module permettant de collecter des informations sur le système infecté font partie des fichiers que les chercheurs ont déjà identifiés dans la boîte à outil de Dtrack. Dans l’ensemble, ces outils peuvent aider les cybercriminels à se propager en mouvements latéraux dans l'infrastructure de la victime pour, par exemple, récupérer des informations confidentielles.
Selon la télémétrie de KSN, DTrack est actif en Allemagne, au Brésil, en Inde, en Italie, au Mexique, en Suisse, en Arabie saoudite, en Turquie et aux États-Unis, prouvant que Lazarus a élargi son panel de victimes potentielles. Lazarus étend ainsi sa victimologie. Parmi les entreprises ciblées, on retrouve des infrastructures critiques dans des secteurs tels que l'éducation, le traitement chimique, les centres de recherche gouvernementaux et les départements politiques, les fournisseurs de services informatiques, les services publics et les télécommunications.
"DTrack continue d’être utilisé par Lazarus", a déclaré Jornt van der Wiel, expert en sécurité au sein de l'équipe Global Research & Analysis de Kaspersky. "Les modifications apportées à la façon dont les logiciels malveillants sont conditionnés montrent que Lazarus accorde toujours une grande importance à DTrack. Malgré cela, il faut noter que cette porte dérobée n'a pas beaucoup changé depuis sa découverte en 2019. Cependant, l'analyse de la géographie et de la nature de ses nouvelles victimes montre que les opérations de Lazaris se sont étendues à l'Europe, une tendance qui semble se confirmer."
Pour se protéger des logiciels malveillants comme DTrack, Kaspersky fait les recommandations suivantes:
● Utilisez un logiciel de surveillance du trafic sur le réseau tel que Kaspersky Anti Targeted Attack Platform.
● Utilisez une solution de sécurité complète avec des technologies de détection basées sur le comportement, comme Kaspersky Endpoint Detection and Response qui détectent et bloquent les attaques à un stade précoce.
● Effectuez régulièrement des contrôles de sécurité de l'infrastructure informatique de l'entreprise.
● Sensibilisez vos employés à la manière de faire face aux menaces dans le cadre de formations à la sécurité comme Kaspersky Security Awareness.
Pour plus d’informations sur DTrack, rendez-vous sur SecureList.
L’acteur APT Lazarus cible désormais des entreprises en Europe
Kaspersky
Articles connexes Communiqués de presse
Selon Kaspersky, la moitié des appareils pris pour cible par des infostealers sont infectés par le logiciel malveillant Redline
D’après Kaspersky Digital Footprint Intelligence, plus de la moitié des appareils visés par des attaques de vol de mots de passe en 2023, l’ont été par le logiciel malveillant Redline (55 %). Bien que le marché des logiciels malveillants continue de croître avec de nouveaux acteurs tels que Lumma, sur les trois dernières années, Redline reste le logiciel malveillant de vols de données le plus utilisé par les cybercriminels.Lire la suite >53 % des appareils infectés par des logiciels malveillants voleurs de données sont des appareils d'entreprise, selon Kaspersky
Selon l’équipe Digital Footprint Intelligence de Kaspersky, la proportion d'appareils d'entreprise infectés par des infostealers a augmenté d'un tiers depuis 2020. 21 % des employés dont les appareils ont été infectés ont exécuté le logiciel malveillant à plusieurs reprises. En réponse à la menace croissante que représentent les info-stealers en entreprise, les experts de Kaspersky sensibilisent au phénomène et proposent des stratégies pour atténuer les risques associés.Lire la suite >Les entreprises investissent plus de 100.000 $ par an pour renforcer les compétences de leurs équipes de cybersécurité
Dans sa dernière étude, Kaspersky révèle que plus de 70 % des entreprises consacrent plus de 100 000 $ (environ 92 000 €) par an pour des formations supplémentaires destinées à leurs spécialistes en cybersécurité afin de maintenir leurs compétences à jour. Cependant, les entreprises interrogées soulignent également un manque de cours pertinents concernant les tendances cyber émergentes : le marché de la formation n’est actuellement pas suffisamment fourni, et les formations choisies n’apportent pas toujours le résultat escompté.Lire la suite >