Evolution du Cluster DeathNote de Lazarus : des attaques de crypto-monnaies au secteur de la défense
Kaspersky a dernièrement investigué sur DeathNote, l'un des clusters du groupe Lazarus. DeathNote s'est radicalement transformé au fil des ans. Actif à partir de 2019, le cluster a d’abord ciblé des entreprises de crypto-monnaies du monde entier, avant d’être responsable, fin 2022, de campagnes ciblées qui ont affecté des entreprises informatiques et des sociétés de défense en Europe, en Amérique latine, en Corée du Sud et en Afrique. Le dernier rapport de Kaspersky fait état de ce changement des cibles de DeathNote ainsi que du développement et du perfectionnement de ses outils, techniques et procédures au cours des quatre dernières années.
On ne présente plus Lazarus, acteur de la menace à l’origine de nombreuses campagnes à l’encontre d’entreprises liées aux crypto-monnaies. En surveillant les activités du groupe, Kaspersky a remarqué l’utilisation d’un logiciel malveillant considérablement modifié. Mi-octobre 2019, les analystes de Kaspersky ont découvert un document suspect déposé sur VirusTotal. L'auteur du malware a utilisé des documents de phishing exploitant des informations liées à des activités de cryptomonnaies. Il s'agit notamment d'un questionnaire sur l'achat de crypto-monnaies spécifiques, de pitchs de présentation d’une crypto-monnaie en particulier et d'une société de minage de bitcoins. C'était alors la première fois que la campagne DeathNote entrait en jeu, ciblant des personnes et des entreprises impliquées dans les crypto-monnaies à Chypre, aux États-Unis, à Taïwan et à Hong Kong.
Cependant, en avril 2020, Kaspersky a constaté un changement important dans les vecteurs d'infection de DeathNote. Les recherches ont révélé que le groupe s’est employé à cibler les organisations des secteurs automobiles et universitaires d'Europe de l'Est liées à l'industrie de la défense. C’est à cette époque que DeathNote a échangé les documents de phishing relatifs aux descriptions de postes des entreprises de défense contre des documents liés à la diplomatie. En outre, l'acteur a élaboré sa chaîne d'infection en utilisant une technique d'injection de modèles RTF dans ses documents piégés, et utilisé un logiciel de visualisation PDF trojanisé à code source ouvert. Ces deux méthodes d'infection aboutissent au même logiciel malveillant (DeathNote downloader), qui permet de collecter et transférer les informations personnelles de la victime.
En mai 2021, Kaspersky a constaté qu'une société informatique européenne, qui fournit des solutions pour la surveillance des périphériques de réseau et des serveurs, avait été compromise par le groupe DeathNote. De plus, début juin 2021, ce sous-groupe de Lazarus a commencé à utiliser un nouveau dispositif pour infecter des cibles en Corée du Sud. Ce qui a particulièrement interpellé les chercheurs, c'est que la phase initiale du logiciel malveillant était exécutée par un logiciel légitime, largement utilisé dans les processus de sécurité en Corée du Sud.
En surveillant l’activité de DeathNote pendant l'année 2022, les chercheurs de Kaspersky ont découvert que le groupe avait été responsable d'attaques contre un sous-traitant du secteur de la défense en Amérique latine. Le vecteur d'infection initial était similaire à ce que Kaspersky avait déjà pu observer avec d'autres cibles du secteur de la défense, impliquant l'utilisation d'un lecteur PDF trojanisé associé à un fichier PDF falsifié. Cependant, dans ce cas particulier, l'acteur a adopté une technique de sideloading pour exécuter la charge utile finale.
Dans la campagne en cours, découverte pour la première fois en juillet 2022, il a été révélé que le groupe Lazarus avait réussi à pénétrer dans une entreprise de défense en Afrique. L'infection initiale a été rendue possible via une application PDF suspecte, envoyée par Skype Messenger. Lors de son exécution, le lecteur PDF a généré un fichier légitime (CameraSettingsUIHost.exe) et un fichier malveillant (DUI70.dll) dans le même répertoire.
« Le groupe Lazarus est un acteur de la menace de renom, qui s’est maintes fois prouvé très compétent. Notre analyse du groupe DeathNote révèle une évolution rapide de ses tactiques, techniques et procédures au fil des ans. Dans cette campagne, Lazarus ne se limite pas aux activités relatives à la crypto, mais va beaucoup plus loin. Il déploie à la fois des logiciels légitimes et des fichiers malveillants pour compromettre des entreprises de défense. Alors que le groupe Lazarus continue d'affiner ses approches, il est crucial pour les organisations de rester vigilantes et de prendre des mesures proactives pour se défendre contre ce genre d’activités malveillantes », commente Seongsu Park, chercheur principal en sécurité au GReAT (Global Research & Analysis Team) de Kaspersky.
Pour en savoir plus sur le groupe DeathNote de Lazarus, les différentes étapes de leurs campagnes et leurs TTPs, consultez le rapport complet sur Securelist.
Pour éviter d'être victime d'attaques ciblées de la part d'acteurs connus ou inconnus, les chercheurs de Kaspersky recommandent de mettre en œuvre les mesures suivantes :
● Réalisez un audit de cybersécurité et surveillez constamment vos réseaux afin de corriger toute faiblesse ou élément malveillant découvert dans le périmètre ou à l'intérieur du réseau.
● Dispensez à votre personnel une formation de base en matière de cybersécurité, car de nombreuses attaques ciblées commencent par des stratégies de hameçonnage ou d'autres techniques d'ingénierie sociale.
● Apprenez à vos employés à ne télécharger des logiciels et des applications mobiles qu'à partir de sources fiables et des magasins d'applications officiels.
● Utilisez un produit EDR pour permettre la détection des incidents et la réponse aux menaces avancées en temps voulu. Un service tel que Kaspersky Managed Detection and Response permet de renforcer ses capacités de détection des menaces contre les attaques ciblées.
● Adoptez une solution anti-fraude capable de protéger les transactions en crypto-monnaies en détectant et en empêchant le vol de compte, les transactions non vérifiées et le blanchiment d'argent.
A propos de Kaspersky
Kaspersky est une société internationale de cybersécurité et de protection de la vie privée numérique fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky comprend la protection avancée des terminaux ainsi que des solutions et services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky aident plus de 400 millions d’utilisateurs et 240 000 entreprises à protéger ce qui compte le plus pour eux.
Evolution du Cluster DeathNote de Lazarus : des attaques de crypto-monnaies au secteur de la défense
Kaspersky
Articles connexes Communiqués de presse
Selon Kaspersky, la moitié des appareils pris pour cible par des infostealers sont infectés par le logiciel malveillant Redline
D’après Kaspersky Digital Footprint Intelligence, plus de la moitié des appareils visés par des attaques de vol de mots de passe en 2023, l’ont été par le logiciel malveillant Redline (55 %). Bien que le marché des logiciels malveillants continue de croître avec de nouveaux acteurs tels que Lumma, sur les trois dernières années, Redline reste le logiciel malveillant de vols de données le plus utilisé par les cybercriminels.Lire la suite >53 % des appareils infectés par des logiciels malveillants voleurs de données sont des appareils d'entreprise, selon Kaspersky
Selon l’équipe Digital Footprint Intelligence de Kaspersky, la proportion d'appareils d'entreprise infectés par des infostealers a augmenté d'un tiers depuis 2020. 21 % des employés dont les appareils ont été infectés ont exécuté le logiciel malveillant à plusieurs reprises. En réponse à la menace croissante que représentent les info-stealers en entreprise, les experts de Kaspersky sensibilisent au phénomène et proposent des stratégies pour atténuer les risques associés.Lire la suite >Les entreprises investissent plus de 100.000 $ par an pour renforcer les compétences de leurs équipes de cybersécurité
Dans sa dernière étude, Kaspersky révèle que plus de 70 % des entreprises consacrent plus de 100 000 $ (environ 92 000 €) par an pour des formations supplémentaires destinées à leurs spécialistes en cybersécurité afin de maintenir leurs compétences à jour. Cependant, les entreprises interrogées soulignent également un manque de cours pertinents concernant les tendances cyber émergentes : le marché de la formation n’est actuellement pas suffisamment fourni, et les formations choisies n’apportent pas toujours le résultat escompté.Lire la suite >