Une campagne menée par Lazarus, un acteur APT très prolifique, a été découverte par le spécialiste en cybersécurité Kaspersky. L’éditeur révèle que depuis le début de l’année 2020 le groupe cible l’industrie de la défense, via l’utilisation d’une porte dérobée appelée « ThreatNeedle ».
ThreatNeedle recueille les informations sensibles de l’entreprise qu’elle infecte grâce à sa capacité à se déplacer à travers des réseaux distincts, dit Kaspersky. Ses chercheurs expliquent avoir découvert cette campagne visant l’industrie de la défense dans le cadre d’une gestion d’incident réalisée pour une entreprise victime d’une attaque récente. L’organisation touchée avait été victime d’une porte dérobée (backdoor), un type de logiciel malveillant qui permet de prendre le contrôle, à distance, d’un appareil infecté. Kaspersky a, depuis, identifié d’autres entreprises, dans plus d’une douzaine de pays, touchées par ThreatNeedle.
ThreatNeedle infecte l’entreprise par le biais de spear phishing. La plupart des mails reçus contiennent des informations prétendument urgentes liées à la pandémie de Covid et se présentent comme émanant d’une organisation médicale reconnue.
Une fois installé, ThreatNeedle permet de prendre le contrôle total des appareils de l’entreprise, “offrant par exemple aux pirates la possibilité de manipuler des fichiers ou d’exécuter des commandes à distance ».
Surmonter la segmentation du réseau
Les chercheurs font remarquer que “l’un des points les plus remarquables de cette campagne se trouve dans le fait que Lazarus réussit à dérober des données à la fois via le réseau informatique interne de l’entreprise, regroupant les postes de travail avec accès Internet, mais aussi via le réseau fermé de celle-ci, qui sécurise les processus confidentiels de production. »
“Nous avons observé comment ils ont surmonté la segmentation du réseau en accédant à un routeur interne et en le configurant en tant que serveur proxy, leur permettant d’exfiltrer les données volées du réseau intranet vers leur serveur distant », précisent-ils. Voir schémas ci-dessous.
Le logiciel malveillant ThreatNeedle utilisé dans cette nouvelle campagne fait partie d’une famille de malwares connue sous le nom de Manuscrypt, qui appartient au groupe Lazarus et qui a déjà été utilisée par le passé pour attaquer des entreprises de crypto-monnaies.
Seongsu Park, chercheur senior en sécurité au sein de l’équipe de recherche GReAT (Global Research & Analysis Team) de Kaspersky, prévient : “En janvier 2021 déjà, l’équipe d’analyse des menaces de Google a signalé que Lazarus avait utilisé la porte dérobée ThreatNeedle pour cibler des chercheurs en sécurité. Nous nous attendons à rencontrer davantage ThreatNeedle à l’avenir ».